Pe 30 noiembrie 2025, în jurul orei 21:11 UTC, un atacator a exploatat o vulnerabilitate de mintare în contractul de token vechi yETH al Yearn Finance. Prin crearea a aproximativ 235 trilioane de tokenuri yETH într-o singură tranzacție, atacatorul a reușit să sustragă aproximativ 8 milioane de dolari din pool-ul principal de stableswap și 0,9 milioane de dolari din pool-ul yETH-WETH de pe Curve, totalizând aproape 9 milioane de dolari în pierderi. Fonduri echivalente cu aproximativ 1.000 ETH au fost ulterior direcționate prin mixerul Tornado Cash pentru a ascunde urmele.
Yearn Finance a confirmat prompt incidentul, precizând că exploit-ul a afectat doar implementarea personalizată a stable-swap pentru yETH vechi și nu a compromis infrastructura Vault V2 sau V3, care, în ansamblu, mențin o valoare totală blocată ce depășește 600 de milioane de dolari. Incidentul a reprezentat cea mai recentă breșă de securitate din istoricul protocolului Yearn, urmând exploate anterioare în 2021 și probleme legate de multisig în 2023, subliniind provocările continue legate de protejarea codului legacy.
Analizele blockchain efectuate de firmele de securitate SEAL 911 și ChainSecurity au indicat utilizarea unor contracte auxiliare efemere, care s-au autodistrus după execuție, complicând eforturile de investigație. Atacatorul a folosit aceste contracte pentru a majora oferta de yETH și a extrage active reale fără a declanșa mecanismele standard de limitare a emiterii. Alertele on-chain au semnalat imediat această anomalie, iar comunitatea de guvernanță Yearn a început discuții despre opțiuni de restituire la scurt timp după aceea.
În urma exploit-ului, token-ul nativ al protocolului, YFI, a înregistrat o scădere bruscă de aproximativ 5,5%, reflectând o scădere a încrederii investitorilor și o reducere temporară a proiecțiilor de venit ale protocolului. Volumurile de tranzacționare au crescut, pe măsură ce roboții de arbitrage și comercianții reacționali au profitat de dislocările de preț, accelerând volatilitatea pe piețele asociate Yearn.
În răspuns, Yearn Finance a lansat un plan de remediere cu mai multe direcții, inclusiv o propunere de guvernanță pentru autorizarea unui airdrop Merkle de 3,2 milioane USD în USDC către părțile afectate, implementarea patch-ului v1.1 pentru a impune limite de mintare și implementarea de instrumente de monitorizare în timp real în toate pool-urile de stable-swap. De asemenea, a fost oferit un bug bounty în valoare de 500.000 USD pentru constatări legate, cu scopul de a consolida securitatea codului și de a reda încrederea utilizatorilor.
Exploit-ul a reamintit riscurile inerente ale întreținerii contractelor DeFi legacy în paralel cu evoluția standardelor protocolului. Arhitecții protocolului au subliniat planuri de a elimina componentele legacy în favoarea unor alternative auditate și verificate de comunitate, subliniind în același timp reziliența depozitelor de bază. Observatorii au remarcat că vulnerabilitățile de tip minting infinit rămân un vector critic de atac în DeFi, solicitând cadre de securitate standardizate și revizuiri periodice din partea terților.
În ciuda breșei, lichiditatea în depozitele Yearn V2 și V3 a rămas intactă, fără perturbări raportate în depozitele utilizatorilor sau operațiuni. Participanții de pe piață au monitorizat îndeaproape discuțiile de guvernanță și constatările auditurilor, evaluând implicațiile pe termen lung pentru tokenomics-ul protocolului și pentru ecosistemul DeFi în ansamblu. Incidentul a subliniat importanța practicilor solide de securitate și a unui răspuns rapid la incidente în protejarea infrastructurii DeFi descentralizate.
Comentarii (0)