Dana 30. novembra 2025. godine, oko 21:11 UTC-a, napadač je iskoristio rupu u mintovanju u nasleđenom ugovoru Yearn Finance o tokenu yETH. Kreiranjem približno 235 triliona yETH tokena u jednoj transakciji, napadač je mogao da iznese oko 8 miliona USD iz primarnog bazena za stable-swap i 0,9 miliona USD iz bazena yETH-WETH na Curve, čime su gubici dostigli oko 9 miliona USD. Sredstva u iznosu otprike 1.000 ETH naknadno su preusmerena kroz mešalicu Tornado Cash kako bi se prikrio trag.
Yearn Finance je brzo potvrdio incident, pojasnivši da je iskorištavanje zahvatilo isključivo prilagođenu implementaciju stabilnog zamene za nasleđeni yETH i da nije ugrozilo V2 ili V3 Vault infrastrukturu, koja zajedno drži ukupnu zaključanu vrednost veću od 600 miliona USD. Incident predstavlja najnoviji bezbednosni proboj u istoriji Yearn protokola, nakon prethodnih eksploata u 2021. godini i problema vezanih za multisig 2023. godine, naglašavajući kontinuirane izazove u zaštiti nasleđenog koda.
Analize blokčeina koje su sproveli bezbednosne firme SEAL 911 i ChainSecurity ukazale su na upotrebu privremenih pomoćnih ugovora koji su se sami uništavali posle izvršenja, otežavajući forenzičke napore. Napadač je iskoristio ove ugovore da inflira ponudu yETH i izvuče stvarnu imovinu bez aktiviranja standardnih mehanizama za ograničenje mintovanja. On-chain upozorenja su odmah ukazala na anomaliju, a Yearn-ova upravljačka zajednica ubrzo je započela rasprave o opcijama restitucije.
Nakon eksploita, izvorni YFI token protokola zabeležio je nagli pad cene od otprilike 5,5%, odražavajući pad poverenja investitora i privremeno smanjenje projekcija prihoda protokola. Obim trgovanja porastao je jer su arbitražni botovi i reaktivni trgovci kapitalizovali cenovne dislokacije, čime se volatilnost na Yearn-ovim tržištima dodatno ubrzala.
U odgovoru, Yearn Finance je pokrenuo višestruki plan ublažavanja, uključujući predlog uprave da se odobri Merkle airdrop u iznosu od 3,2 miliona USDC pogođenim zainteresovanim stranama, implementaciju zakrpe verzije v1.1 za sprovođenje ograničenja mintovanja i postavljanje alata za praćenje u realnom vremenu na svim bazenima za stable-swap. Takođe je ponuđena nagrada za otkrivanje bagova od 500.000 USD za povezane nalaze, sa ciljem jačanja bezbednosti koda i povratka poverenja korisnika.
Iskorišćavanje je podsetilo na rizike inherentne održavanju nasleđenih DeFi ugovora uz razvoj protokolskih standarda. Arhitekti protokola su naglasili planove da zastarele komponente zamene proverljivim, zajednicom odobrenim alternativama, uz isticanje otpornosti ključnih vault-ova. Posmatrači su primetili da ranjivosti koje omogućavaju beskonačno mintovanje ostaju kritični napadački vektor u decentralizovanom finansiranju, što je izazvalo pozive za standardizovane sigurnosne okvire i kontinuirani treći-parti pregled.
Uprkos proboju, likvidnost u Yearn-ovim V2 i V3 vault-ovima ostala je netaknuta, bez zabeleženih poremećaja u depozitima korisnika ili operacijama. Učesnici na tržištu pažljivo su pratili rasprave o upravljanju i nalaze revizija, procenjujući potencijalne dugoročne posledice po tokenomiku protokola i širi DeFi ekosistem. Ovaj incident naglašava važnost pažljivih bezbednosnih praksi i brze reakcije na incidente u zaštiti infrastrukture decentralizovanog finansiranja.
Коментари (0)