Lu 30 di nuvèmmiru 2025, attornu a li 21:11 UTC, nu attaccanti sfruttò na vulnerabilità di minting ntô contrattu dû token yETH di Yearn Finance di la versione legacy. Ccu na transazzioni unica, l'attaccanti criò circa 235 trilioni di token yETH, e accussì si purtò via circa $8 milioni di sordi dû pool principali di stableswap e $0.9 milioni dû pool yETH-WETH supra Curve, totalizzannu quasi $9 milioni di perduti. Li fondi, equivalenti a circa 1,000 ETH, fuuru riallocati dopu attraversu lu mixer Tornado Cash pi scurari lu tracciu.
Yearn Finance confermò subitu l'incident, chiarennu ca l'exploit affettò sulu la implementazzioni custom di stable-swap pî la versione legacy di yETH e ca non compromette lu V2 o lu V3 Vault, ca nzèmmula tenunu nu valore total locked ca supera $600 milioni. L'incident fu l'ùltimu sforzu di sigurezza ntâ storia dû protokollu Yearn, doppo explot ntâ 2021 e quistioni di multisignature ntâ 2023, e sottolineau li sfidi di proteggiri lu codice legacy.
Analisi di blockchain di li firmi di siguranza SEAL 911 e ChainSecurity indicaru lu dispiegamentu di contratti ausiliari effimeri ca si distrùggianu dopu l'esecuzioni, complicannu li sforzi fòrensi. L'attaccanti sfruttau sti contratti pi ingrandiri l'offerta di yETH e pighiari asset reali senza attivari li salvagarda standard di mint-limit. L'allerta in catina marcau l'anomalia subitu, e la cumunità di governance di Yearn accuminciau li discussioni supra opzioni di ristituziu subitu dopu.
Dopu all'exploit, lu token nativu YFI dû protokollu patì na caduta improvvisa di prezzo di circa 5.5%, riflettennu na calata di fiducia di li investitori e na riduzzioni temporanea di li progetti di redditu dû protokollu. Li volumi di cummerciu spà ranu comu li bot di arbitrà ggiu e li trader reattivi sfruttà ru li dislocazzioni di prezzu, accelerannu la vulatilità ntê mercati associati a Yearn.
Pi rispunta a chistu, Yearn Finance iniziò nu pianu di rimediu multi-istrumenti, inclusu na proposta di governance pi autorizzari na Merkle USDC airdrop di $3.2 milioni a li stakeholder affettati, l'implementazioni di na patch v1.1 pi fariri rispettari li limiti di minting, e lu dispiegamentu di strumenti di monitoraggiu nti tuttu li pool di stable-swap ntâ tempu reali. Un bug bounty di $500,000 fu puru offertu pi li riscontri ca, cu lu scopu di raffurzarì la sigurezza dû codice e ristabiliri la fiducia di l'utenti.
Lu sfruttamentu ficiari ricordari li rischi intrinsechi ntâ mantèniri contratti DeFi legacy nzemi a li standard di protokollu ca camminanu. Li architetturi dû protokollu enfatizzà li piani pi deprecari li cumpunenti legacy in favore di alternative auditati e cunzultati di la cumunità , mentri si sottolineau la resilienza di li vault centrali. Osservaturi notaru ca li vulnerabilità di mint infinito ristavanu na vetturi criticu di attaccu ntâ finanza decentralizzata, spingennu richiesti pi quadri di sigurezza standardizzati e rivisioni di terza parti cuntinua.
Malgrà lu breach, la liquidità ntê V2 e V3 vaults di Yearn ristau intatta, senza interruzzioni ntê depositi o ntê operazioni. I partecipanti dô mercatu cuntinuau a monitorà li discussioni di governance e li risultati di l'auditi, valutannu li potenziali implicazioni a lu longu term pi la tokenomica dû protokollu e pi lu ecosistema DeFi cchiù ampiu. L'incidentu rinforzò l'impurtanza di pratiche di sigurezza vigili e di na risposta rapida a li incidenti pi prutèggiri l'infrastruttura di finanza decentralizzata.
Cummenti (0)