30 ноября 2025 года примерно в 21:11 по всемирному координированному времени злоумышленник воспользовался уязвимостью эмиссии в контракте устаревшего токена yETH Yearn Finance. Создав примерно 235 триллионов токенов yETH за одну транзакцию, злоумышленник смог вывести около 8 миллионов долларов из основного пула StableSwap и 0,9 миллиона долларов из пула yETH-WETH на Curve, суммарно около 9 миллионов долларов убытков. Средства, эквивалентные примерно 1 000 ETH, впоследствии были направлены через миксер Tornado Cash, чтобы скрыть следы.
Yearn Finance оперативно подтвердила инцидент, пояснив, что эксплойт затронул только собственную реализацию стабильного обмена для устаревшего yETH и не затронул инфраструктуру Vault версий V2 и V3, которая вместе поддерживает заблокированную стоимость более 600 миллионов долларов. Инцидент стал последним нарушением безопасности в истории протокола Yearn, после предыдущих взломов в 2021 году и проблем с мультиподписью в 2023 году, и подчеркнул постоянные проблемы по защите устаревшего кода.
Аналитика блокчейна фирм SEAL 911 и ChainSecurity указывает на развёртывание эфемерных вспомогательных контрактов, которые самоуничтожались после выполнения, что затрудняло проведение судебно-следственных расследований. Злоумышленник использовал эти контракты, чтобы раздуть предложение yETH и извлечь реальные активы без срабатывания стандартных механизмов ограничения выпуска. Оповещения в цепочке немедленно зафиксировали аномалию, и сообщество управления Yearn вскоре начало обсуждать варианты возмещения.
После взлома нативный токен протокола YFI резко упал примерно на 5,5%, что отражает снижение доверия инвесторов и временное снижение прогнозов по доходам протокола. Объем торгов резко возрос, как арбитражные боты и реактивные трейдеры воспользовались ценовыми расхождениями, что ещё больше ускорило волатильность на рынках, связанных с Yearn.
В ответ Yearn Finance запустила многоступенчатый план исправления, включая предложение управления о разрешении раздачи Merkle в USDC на сумму 3,2 млн для пострадавших участников, внедрение патча версии v1.1 для обеспечения ограничений выпуска и развёртывание инструментов мониторинга в реальном времени по всем пулам стабильного обмена. Также был объявлен баг-баунти размером 500 000 долларов США за соответствующие находки, с целью усилить безопасность кода и вернуть доверие пользователей.
Уязвимость стала напоминанием о рисках, связанных с поддержанием устаревших контрактов DeFi наряду с развитием протокольных стандартов. Архитекторы протокола подчеркнули планы отказаться от устаревших компонентов в пользу аудируемых и общественно верифицированных альтернатив, при этом подчеркивая устойчивость основных хранилищ. Наблюдатели отметили, что уязвимости бесконечного выпуска остаются критическим вектором атаки в децентрализованных финансах, призывая к стандартизированным рамкам безопасности и непрерывному стороннему аудиту.
Несмотря на взлом, ликвидность в хранилищах Yearn V2 и V3 сохранялась, с жалоб на перебои в пополнении счетов пользователей или операциях не сообщалось. Рыночные участники внимательно следили за обсуждениями в управлении и результатами аудита, оценивая потенциальные долгосрочные последствия для токеномики протокола и широкой экосистемы DeFi. Инцидент подчеркнул важность внимательных практик безопасности и быстрого реагирования на инциденты для защиты инфраструктуры децентрализованных финансов.
Комментарии (0)