Yearn Finance подвергся эксплуатации yETH, в результате чего $3M было отправлено в Tornado Cash

Yearn Finance сталкивается с новой проблемой безопасности после того, как злоумышленник воспользовался контрактом токена yETH и вывел миллионы в ETH и ликвидном стейкинге из пулов Balancer. Резюме

• Эксплуатация была нацелена на более старый контракт yETH, что позволяло злоумышленнику создавать неограниченное количество токенов и опустошать пул Balancer.
• Около 1,000 ETH прошло через Tornado Cash вскоре после атаки, при этом больше активов все еще хранится в кошельках злоумышленника.
• Yearn подтвердил, что проблема изолирована от его V2 и V3 Хранилищ и готовит подробный отчет о инциденте.

Инцидент произошел поздно 30 ноября, когда злоумышленник активировал уязвимость бесконечного чеканки внутри контракта yETH. Затем они создали невозможное количество yETH, более 235 триллионов токенов, за одну транзакцию.

С этими токенами злоумышленник быстро перемещался через пулы Balancer, удаляя реальные активы, включая ETH и популярные деривативы стейкинга. Первоначальные следы показывают, что около $3 миллионов прошло через Tornado Cash вскоре после эксплуатации, в то время как адрес злоумышленника все еще удерживает дополнительные активы, связанные с этим событием.

Эксплуатация изолирована на устаревшем продукте yETH

Данные блокчейна показывают, что пул yETH стейблсвапа был опустошен в течение нескольких минут, оставив примерно $2.8 миллионов дыры. Yearn Finance(YFI) заявила, что проблема заключается в более старой реализации yETH и не затрагивает ее V2 или V3 Vaults. Протоколы, построенные на Yearn V3, включая Katana, также сообщили об отсутствии воздействия.

Мы расследуем инцидент, связанный с пулом stableswap yETH LST.

Yearn Vaults ( обе V2 и V3) не затронуты.

— год (@yearnfi) ноября 30, 2025

Несколько вспомогательных контрактов появились за несколько мгновений до атаки и исчезли через вызовы самоуничтожения, как только пул был опустошен, что усложнило отслеживание.

Команды безопасности, рассматривающие транзакции, включая аудиторов, отслеживающих старые продукты Yearn, связали это событие с давней уязвимостью в логике токена yETH, а не с проблемой в текущей архитектуре хранилищ Yearn.

Протокол поддерживает действующую программу вознаграждений за обнаружение ошибок с наградами до 200 000 $ за критические находки, хотя путь восстановления пока не был объявлен.

Движение по цепочке усиливается после оттока ликвидности

Вскоре после коллапса пула пользователь X Togbo отметил несколько движений партий по 100 ETH, проходящих через Tornado Cash. В общей сложности около 1 000 ETH было замешано в часы, следующие за атакой. Нападающий по-прежнему сохраняет дополнительные активы стоимостью несколько миллионов долларов в нескольких кошельках.

некоторые другие вещи, связанные с балансировщиком, выглядящие как эксплойт, учитывая частые взаимодействия с торнадо

yearn, rocket pool, origin, dinero и другие LST, которые распространяются pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) 30 ноября 2025

Пул yETH содержал примерно $11 миллионов до нарушения, и хотя окончательная сумма потерь все еще находится на рассмотрении, Yearn заявила, что средства пользователей внутри активных хранилищ остаются в безопасности.

Этот инцидент добавляет к долгой истории протокола по управлению наследственными рисками, произошедшими за несколько лет после его взлома yDAI в 2021 году и ошибки конфигурации казны в 2023 году, которая не затронула вкладчиков. YFI упал примерно на 4% после события и торговался около $4,002 на момент публикации.