2025 yılının 30 Kasımında yaklaşık olarak 21:11 UTC'de, bir saldırgan Yearn Finance'in eski yETH token sözleşmesindeki minting güvenlik açığını kötüye kullandı. Tek bir işlemede yaklaşık 235 trilyon yETH tokeni oluşturarak saldırgan, Curve'daki ana StableSwap havuzundan yaklaşık 8 milyon dolar ve yETH-WETH havuzundan 0.9 milyon dolar sızdırdı ve toplam zarar yaklaşık 9 milyon dolara ulaştı. İzleri gizlemek için yaklaşık 1.000 ETH değerinde fonlar daha sonra Tornado Cash karıştırıcısına yönlendirildi.
Yearn Finance olayı hızla doğruladı ve güvenlik açığının yalnızca eski yETH için özel olarak uyarlanmış stabil-swap uygulamasını etkilediğini ve V2 ya da V3 Vault altyapılarını bozmadığını belirtti; bu altyapılar birlikte 600 milyon doların üzerinde kilitli değer bulunduruyor. Olay, Yearn protokol geçmişindeki en son güvenlik ihlali olarak 2021'deki önceki suiistimaller ve 2023'taki multisignature sorunlarının ardından geldi ve eski kodların korunmasıyla ilgili süregelen zorlukları vurguladı.
SEAL 911 ve ChainSecurity güvenlik firmalarının blokzinciri analizi, yürütmeden sonra kendini yok eden geçici yardımcı sözleşmelerin devreye alındığını gösterdi ve adli incelemeleri zorlaştırdı. Saldırgan bu sözleşmeleri kullanarak yETH arzını şişirdi ve standart basım sınırlarını tetiklemeksizin gerçek varlıkları çıkardı. Zincir içi uyarılar bu anomaliyi hemen işaretledi ve Yearn’in yönetişim topluluğu kısa süre sonra tazminat seçenekleri üzerinde tartışmalara başladı.
İhlal sonrası protokolün yerel YFI tokeni yaklaşık %5,5 oranında ani bir değer kaybı yaşadı ve bu, yatırımcı güveninin azalması ve protokol gelir projeksiyonlarının geçici olarak düşmesiyle ilgiliydi. Arbitraj botları ve tepki veren tüccarlar, fiyat ayrışımlarından faydalanarak işlem hacmini yükseltti ve Yearn ile ilişkili piyasalarda volatiliteyi daha da artırdı.
Buna karşılık Yearn Finance, etkilenen paydaşlara 3.2 milyon USDC Merkle airdrop’u yetkilendirmek için bir yönetişim önerisi içeren çok yönlü bir iyileştirme planını başlattı, minting limitlerini zorunlu kılacak bir v1.1 yaması uygulanması ve tüm stabilize-swap havuzları genelinde gerçek zamanlı izleme araçlarının devreye alınması dahil. İlgili bulgular için ayrıca 500.000 dolar değerinde bir hata ödülü sunuldu; amacı kod güvenliğini güçlendirmek ve kullanıcı güvenini yeniden tesis etmek.
İstismar, eski DeFi sözleşmelerinin güncel protokol standartlarıyla uyum içinde tutulmasının taşıdığı riskleri hatırlattı. Protokol mimarları, eski bileşenleri denetlenmiş, toplulukça onaylanmış güvenli alternatiflerle değiştime planlarına vurgu yaparken, çekirdek vault’ların dayanıklılığını da işaret etti. Gözlemciler, sonsuz mint güvenlik açıklarının merkezi olmayan finansta hâlâ kritik bir saldırı vektörü olduğunu belirtti ve standart güvenlik çerçeveleri ile sürekli üçüncü taraf incelemesini talep etti.
İhlale rağmen Yearn’in V2 ve V3 Vault’larındaki likidite bozulmadı; kullanıcı mevduatları ya da operasyonlarda herhangi bir aksaklık bildirilmedi. Piyasa katılımcıları yönetişim tartışmalarını ve denetim bulgularını yakından izledi ve protokol tokenomisi ile daha geniş DeFi ekosistemi için potansiyel uzun vadeli etkileri değerlendirdi. Bu olay, merkezi olmayan finans altyapısını korumada tetikte güvenlik uygulamalarının ve hızlı olay yanıtının önemini vurguladı.
Yorumlar (0)