Vào ngày 30 tháng 11 năm 2025 lúc khoảng 21:11 UTC, một kẻ tấn công đã khai thác lỗ hổng đúc token trong hợp đồng yETH cổ điển của Yearn Finance. Bằng cách tạo ra khoảng 235 nghìn tỷ token yETH trong một giao dịch duy nhất, kẻ tấn công đã rút được khoảng 8 triệu USD từ bể StableSwap chính và 0,9 triệu USD từ bể yETH-WETH trên Curve, tổng cộng gần 9 triệu USD thiệt hại. Số tiền tương đương khoảng 1.000 ETH sau đó được chuyển qua mixer Tornado Cash để che giấu dấu vết.
Yearn Finance đã kịp thời xác nhận sự cố, làm rõ rằng vụ khai thác chỉ ảnh hưởng đến triển khai StableSwap tùy chỉnh cho yETH cổ điển và không làm xâm phạm hạ tầng Vault V2 hoặc V3, vốn cùng duy trì tổng giá trị bị khóa vượt quá 600 triệu USD. Sự cố này là vụ vi phạm bảo mật mới nhất trong lịch sử giao thức Yearn, sau các vụ khai thác trước vào năm 2021 và các vấn đề liên quan đến multisignature vào năm 2023, và nhấn mạnh những thách thức liên tục trong việc bảo vệ mã kế thừa.
Phân tích chuỗi khối do các công ty bảo mật SEAL 911 và ChainSecurity thực hiện cho thấy sự triển khai các hợp đồng trợ giúp ngắn hạn tự hủy sau khi thực thi, làm phức tạp nỗ lực điều tra pháp y. Kẻ tấn công đã lợi dụng các hợp đồng này để làm tăng cung yETH và rút tài sản thực mà không kích hoạt các biện pháp giới hạn đúc (mint) tiêu chuẩn. Các cảnh báo trên chuỗi đã được kích hoạt ngay lập tức về sự bất thường, và cộng đồng quản trị Yearn đã bắt đầu thảo luận về các lựa chọn khôi phục sau đó.
Sau vụ khai thác, token gốc YFI của giao thức đã giảm giá bất ngờ khoảng 5,5%, phản ánh sự suy giảm niềm tin của nhà đầu tư và sự cắt giảm tạm thời các dự báo doanh thu của giao thức. Khối lượng giao dịch tăng vọt khi các bot arbitrage và nhà giao dịch phản ứng tận dụng sự lệch giá, làm tăng thêm sự biến động ở các thị trường liên quan đến Yearn.
Để ứng phó, Yearn Finance đã triển khai kế hoạch khắc phục đa mặt, bao gồm một đề xuất quản trị cho phép airdrop Merkle USDC trị giá 3,2 triệu USDC tới các bên liên quan bị ảnh hưởng, triển khai bản vá v1.1 để thực thi giới hạn đúc, và triển khai các công cụ giám sát thời gian thực trên tất cả các bể StableSwap. Ngoài ra, một chương thưởng lỗi trị giá 500.000 USD cũng được đưa ra cho các phát hiện liên quan, nhằm tăng cường an ninh mã và khôi phục niềm tin của người dùng.
Vụ khai thác nhắc nhở về nguy cơ vốn có khi duy trì các hợp đồng DeFi cổ cùng với các tiêu chuẩn giao thức ngày càng phát triển. Các kiến trúc sư giao thức nhấn mạnh kế hoạch loại bỏ các thành phần cổ thay bằng các lựa chọn được kiểm toán và cộng đồng thẩm định, đồng thời nêu bật tính bền vững của các vault lõi. Các quan sát viên cho biết các lỗ hổng đúc vô hạn vẫn là một vectơ tấn công quan trọng trong tài chính phi tập trung, thúc đẩy các kêu gọi về khung bảo mật chuẩn hóa và rà soát của bên thứ ba liên tục.
Bất chấp vụ vi phạm, tính thanh khoản ở các vault V2 và V3 của Yearn vẫn được duy trì nguyên vẹn, không có sự gián đoạn nào đối với tiền gửi hay hoạt động của người dùng được báo cáo. Các người tham gia thị trường theo dõi chặt chẽ các cuộc thảo luận quản trị và kết quả kiểm toán, đánh giá những tác động lâu dài có thể có đối với hệ thống tokenomics của giao thức và hệ sinh thái DeFi rộng lớn hơn. Sự cố nhấn mạnh tầm quan trọng của các thực hành bảo mật cảnh giác và phản ứng sự cố nhanh chóng trong việc bảo vệ cơ sở hạ tầng tài chính phi tập trung.
Bình luận (0)