30. novembra 2025 ob približno 21:11 UTC je napadalec izkoristil ranljivost pri mintanju v zastarelem pogodbenem žetonu yETH podjetja Yearn Finance. S ustvarjanjem približno 235 bilijonov yETH žetonov v eni transakciji je napadalec uspel izčrpati približno 8 milijonov dolarjev iz glavnega baze StableSwap in 0,9 milijona dolarjev iz baze yETH-WETH na Curve, kar skupaj znaša skoraj 9 milijonov dolarjev v izgubah. Sredstva v vrednosti približno 1.000 ETH so bila nato usmerjena preko mešalnika Tornado Cash, da bi zakrili sled.
Yearn Finance je incident hitro potrdil, pojasnil, da je izkoriščanje prizadelo le prilagojeno implementacijo stable-swap za zastareli yETH in ni ogrozilo infrastrukture Vault V2 ali Vault V3, ki skupaj ohranjata zaklenjeno vrednost nad 600 milijonov dolarjev. Ta dogodek je predstavljal najnovejšo varnostno kršitev v zgodovini Yearnovega protokola, sledila pa so mu prejšnja izkoriščanja v letu 2021 in težave, povezane z multisig v letu 2023, ter izpostavil stalne izzive okoli zaščite zastarele kode.
Analiza verige s strani varnostnih podjetij SEAL 911 in ChainSecurity je pokazala uporabo začasnih pomožnih pogodbenih kontraktov, ki so se po izvedbi samouničili, kar je zapletlo forenzična prizadevanja. Napadalec je izkoristil te pogodbe za povečanje ponudbe yETH in izčrpanje dejanskih sredstev brez sprožitve standardnih omejitev mintanja. Obvestila v verigi so anomalijo takoj označila, skupnost upravljanja Yearn pa je nekaj časa po dogodku začela razpravljati o možnostih restitucije.
Po napadu je domači YFI žeton protokola doživel nenaden padec cene za približno 5,5 %, kar je odraz upadlega zaupanje vlagateljev in začasno znižanje projekcij prihodkov protokola. Obseg trgovanja se je povečal, saj so arbitražni botovi in odzivni trgovci izkoristili cenovne dislokacije, kar je še pospešilo volatilnost na trgih povezanih z Yearn.
Kot odgovor je Yearn Finance uvedel večsmerni načrt popravil, vključno z upravno pobudo za odobritev Merkle airdropa v vrednosti 3,2 milijona USDC prizadetim deležnikom, implementacijo popravka v1.1 za uveljavitev omejitev mintanja in postavitev orodij za spremljanje v realnem času po vseh bazenih StableSwap. Prav tako je bila ponujena nagrada za odkrivanje napak v višini 500.000 dolarjev za sorodne ugotovitve, z namenom okrepiti varnost kode in obnoviti zaupanje uporabnikov.
Napad je služil kot opomin na tveganja, ki so inherentna vzdrževanju zastarelih DeFi pogodbenih komponent ob hkrati razvijajočih se protokolskih standardih. Arhitekti protokola so poudarili načrte za opuščanje zastarelih komponent v korist preverjenih, skupnostjo potrjenih alternativ, hkrati pa so izpostavili odpornost ključnih vaultov. Opazovalci so opozorili, da so ranljivosti, ki omogočajo neskončno mintanje, še vedno ključni vektor napada v decentraliziranih financah, kar je spodbudilo pozive po standardiziranih varnostnih okvirih in stalnem pregledu s strani tretjih oseb.
Kljub vdoru so likvidnost v Yearnovih vaultih V2 in V3 ostala nedotaknjena, brez zabeleženih motenj pri uporabniških depozitih ali operacijah. Tržni akterji so natančno spremljali razprave o upravljanju in ugotovitve nadzora, pri čemer so ocenjevali morebitne dolgoročne posledice za protokol tokenomiko in širši DeFi ekosistem. Dogodek je poudaril pomen budnih varnostnih praks in hiter odziv na incidente pri zaščiti infrastrukture decentraliziranih financ.
Komentarji (0)