Den 30 november 2025 klockan cirka 21:11 UTC utnyttjade en angripare en mynte-sÄrbarhet i Yearn Finances Àldre yETH-tokenkontraktet. Genom att skapa cirka 235 biljoner yETH-tokens i en enda transaktion kunde angriparen drÀnera cirka 8 miljoner dollar frÄn den primÀra stableswap-poolen och 0,9 miljoner dollar frÄn yETH-WETH-poolen pÄ Curve, totalt nÀra 9 miljoner dollar i förluster. Medel som motsvarade cirka 1 000 ETH omdirigerades dÀrefter genom Tornado Cash-mixern för att dölja spÄret.
Yearn Finance bekrÀftade omedelbart incidenten och förtydligade att utnyttjandet endast pÄverkade den anpassade stable-swap-implementeringen för Àldre yETH och inte komprometterade V2- eller V3 Vault-infrastrukturen, som tillsammans har ett totalt lÄst vÀrde som överstiger 600 miljoner dollar. HÀndelsen utgjorde den senaste sÀkerhetsövertrÀdelsen i Yearns protokollhistoria, efter tidigare exploat i 2021 och multisignatur-relaterade problem 2023, och underströk pÄgÄende utmaningar kring att skydda Àldre kod.
Blockkedjeanalys av sÀkerhetsföretagen SEAL 911 och ChainSecurity indikerade anvÀndningen av tillfÀlliga hjÀlpkontrakt som sjÀlvdestruerade efter körning, vilket komplicerade forensiska utredningar. Angriparen anvÀnde dessa kontrakt för att öka yETH-utbudet och extrahera verkliga tillgÄngar utan att utlösa standardmint-begrÀnsningar. On-chain-varningar flaggade avvikelsen omedelbart, och Yearns styrningsgemenskap inledde kort dÀrefter diskussioner om ÄterstÀllningsalternativ.
Efter utnyttjandet upplevde protokollets inhemska YFI-token en plötslig prisnedgÄng pÄ cirka 5,5 %, vilket speglade ett minskat investerarförtroende och en tillfÀllig nedgÄng i protokollets intÀktsprognoser. Handelsvolymerna ökade nÀr arbitrage-botar och reagerande handlare utnyttjade prisavvikelser, vilket ytterligare ökade volatiliteten pÄ Yearn-relaterade marknader.
Som svar initierade Yearn Finance en mÄngfacetterad ÄtgÀrdsplan, inklusive ett styrningsförslag att auktorisera en USDC Merkle-airdrop till drabbade intressenter pÄ 3,2 miljoner dollar, implementering av en v1.1-patch för att genomdriva mint-begrÀnsningar, och utrullning av övervakningsverktyg i realtid över alla stable-swap-pools. Ett bug bounty pÄ 500 000 dollar erbjöds ocksÄ för relaterade fynd, med mÄlet att stÀrka kodens sÀkerhet och ÄterstÀlla anvÀndarförtroendet.
Utnyttjandet pÄminde om riskerna som finns i att underhÄlla legacy DeFi-kontrakt samtidigt som protokollstandarderna utvecklas. Protokollarkitekter betonade planer pÄ att avveckla Àldre komponenter till förmÄn för granskade, community-godkÀnda alternativ, medan de underströk kÀrnvalvens motstÄndskraft. Observatörer noterade att sÄrbarheter kopplade till obegrÀnsad mintning fortfarande utgör en kritisk attackvektor inom decentraliserad finans, vilket uppmanade till standardiserade sÀkerhetsramverk och kontinuerlig tredje parts granskning.
Trots intrÄnget var likviditeten i Yearns V2- och V3-valv fortfarande intakt, utan störningar i anvÀndarnas insÀttningar eller verksamhet. Marknadsaktörer följde noggrant styrningsdiskussionerna och granskningsresultaten, och bedömde potentiella lÄngsiktiga konsekvenser för protokollets tokenomics och det bredare DeFi-ekosystemet. Incidenten underströk vikten av vaksam sÀkerhetspraxis och snabb incidentrespons för att skydda infrastrukturen för decentraliserad finans.
Kommentarer (0)