30 listopada 2025 roku około 21:11 UTC napastnik wykorzystał lukę mintingu w starszym kontrakcie tokena yETH firmy Yearn Finance. Tworząc w jednej transakcji około 235 trylionów tokenów yETH, napastnik był w stanie wyprowadzić około 8 milionów dolarów z głównego puli stableswap i 0,9 miliona dolarów z puli yETH-WETH na Curve, co łącznie daje prawie 9 milionów dolarów strat. Środki o równowartości około 1 000 ETH zostały następnie przekierowane przez mixer Tornado Cash, aby zatarć ślad.
Yearn Finance niezwłocznie potwierdził incydent, wyjaśniając, że wyciek dotknął wyłącznie niestandardową implementację stabilnego swap dla starszego yETH i nie naruszył infrastruktury Vault V2 ani V3, które łącznie utrzymują wartość zamrożoną przekraczającą 600 milionów dolarów.
Analizy blockchain prowadzone przez firmy bezpieczeństwa SEAL 911 i ChainSecurity wskazały na wdrożenie tymczasowych kontraktów pomocniczych, które po wykonaniu samodestrukowały się, co utrudniało prace śledcze. Napastnik wykorzystał te kontrakty do sztucznego powiększenia podaży yETH i wydobycia realnych aktywów bez uruchomienia standardowych zabezpieczeń ograniczających minting. Powiadomienia on-chain natychmiast zasygnalizowały anomalię, a społeczność zarządzająca Yearn niezwłocznie rozpoczęła dyskusje na temat możliwości zwrotu.
Po wycieku natywny token YFI protokołu doświadczył nagłego spadku ceny o około 5,5%, odzwierciedlającego spadek zaufania inwestorów i tymczasowe obniżenie prognoz przychodów protokołu. Wolumeny handlowe skoczyły w górę, gdy boty arbitrażowe i traderzy reagujący na okazje cenowe wykorzystali rozbieżności cenowe, co dodatkowo zwiększyło zmienność na rynkach związanych z Yearn.
W odpowiedzi Yearn Finance uruchomił wieloetapowy plan naprawczy, obejmujący propozycję zarządu upoważniającą do airdropu Merkle w wysokości 3,2 miliona USDC dla poszkodowanych interesariuszy, wdrożenie łatki v1.1 w celu egzekwowania limitów mintingu oraz wdrożenie narzędzi monitoringu w czasie rzeczywistym na wszystkich pulach stable-swap. Ogłoszono również nagrodę za znalezienie błędów w wysokości 500 000 USD w celu wzmocnienia bezpieczeństwa kodu i przywrócenia zaufania użytkowników.
Ten incydent przypomina ryzyko związane z utrzymywaniem przestarzałych kontraktów DeFi obok ewoluujących standardów protokołu. Architekci protokołu podkreślili plany wycofania przestarzałych komponentów na rzecz audytowanych, społecznością zatwierdzonych alternatyw, jednocześnie podkreślając odporność rdzeniowych vaultów. Obserwatorzy zauważyli, że luki typu infinite minting pozostają krytycznym wektorem ataku w zdecentralizowanych finansach, co skłania do standaryzowanych ram bezpieczeństwa i stałych przeglądów przez strony trzecie.
Mimo naruszenia, płynność w vaultach Yearn V2 i V3 pozostala nienaruszona, bez zakłóceń w depozytach użytkowników ani w operacjach. Uczestnicy rynku uważnie monitorowali dyskusje zarządcze i wyniki audytów, oceniając potencjalne długoterminowe implikacje dla tokenomiki protokołu oraz dla szerszego ekosystemu DeFi. Incydent podkreślił znaczenie czujnych praktyk bezpieczeństwa i szybkiej reakcji na incydenty w ochronie infrastruktury DeFi.
Komentarze (0)