Firma Yearn Finance poinformowała, że na starszy produkt yETH miał wpływ exploit, który umożliwił osobie atakującej wybicie dużej liczby fałszywych tokenów i wymianę ich na prawdziwe aktywa.
Powiązane lektury
Zgodnie z alertami w łańcuchu i oświadczeniami protokołu osoba atakująca utworzyła niemal nieskończoną ilość yETH w ramach jednej transakcji, a następnie wykorzystała te tokeny do wydobywania ETH i płynnych instrumentów pochodnych z pul płynności.
Incydent został po raz pierwszy wykryty 30 listopada 2025 r., a jego całkowity wpływ oszacowano na około 9 milionów dolarów.
Exploit polegał na wybiciu niemal nieskończonej ilości tokenów yETH, wyczerpując pulę w ramach jednej transakcji.
~1 tys $ETH (o wartości ~ 3 milionów dolarów) został wysłany do #TornadoCashpodczas gdy wyzyskiwacza… pic.twitter.com/IXNygpwoWa
Jak to się udało
Według doniesień atakujący wykorzystał lukę w logice bicia monet yETH i za jednym razem wyprodukował tokeny o wartości około 235 bilionów.
Te bezwartościowe tokeny zostały następnie wymienione na prawdziwe aktywa z pul Balancer i Curve powiązanych z produktem, opróżniając płynność w ciągu kilku minut. Monitorujący łańcuchy i badacze bezpieczeństwa wykazali, że mennica i kolejne giełdy rozwijały się bardzo szybko na blockchainie.
30 listopada o godzinie 21:11 UTC miał miejsce incydent dotyczący stabilnej puli wymiany yETH, w wyniku którego wybiła duża ilość yETH. Umowa, której dotyczy problem, to dostosowana wersja popularnego kodu stableswap, niepowiązana z innymi produktami Yearn. Skarbce Yearn V2/V3 nie są zagrożone.
Jakie aktywa zostały zabrane?
Raporty wykazały, że z głównej stabilnej puli giełdowej yETH pobrano około 8 milionów dolarów, a z puli yETH-WETH około 0,9 miliona dolarów.
Dodatkowo około 1000 ETH, o wartości około 3 milionów dolarów w momencie przeprowadzki, zostało wysłanych do Tornado Cash w celu zatarcia śladów. Osoba atakująca przekształciła fałszywy yETH w kombinację ETH i płynnych tokenów stakingowych, zanim podjęła próbę prania środków.
Całkowita kapitalizacja rynku kryptowalut wynosi obecnie 2,92 biliona dolarów. Wykres: Wpływ TradingView na produkty podstawowe Yearn
Według urzędników Yearn i dalszych raportów naruszenie ograniczało się do wcześniejszej, starszej implementacji produktu yETH i nie miało wpływu na główne skarbce Yearn V2 i V3.
Wyizolowano złoża w dotkniętej puli, a zespół i eksperci zewnętrzni rozpoczęli dochodzenie. Mówi się, że ta izolacja zapobiegła dotknięciu większości środków użytkowników w aktywnych skarbcach.
Reakcja rynku i szersze obawy
Powiązane lektury
Yearn Finance oświadczył, że współpracuje z zewnętrznymi zespołami ds. bezpieczeństwa w celu przeprowadzenia sekcji zwłok i naprawienia luki. Zespoły wymienione w relacji podobno obejmują zewnętrznych audytorów i badaczy blockchain, którzy śledzą skradzione środki i doradzają w zakresie opcji odzyskiwania.
W poradniku dotyczącym protokołu ostrzeżono użytkowników o starszym produkcie, którego dotyczy problem, i zalecono zachowanie ostrożności w trakcie kontynuowania przeglądu.
Wyróżniony obraz z Unsplash, wykres z TradingView
