Yearn Finance зазнала експлуатації yETH, коли $3M було надіслано до Tornado Cash

Yearn Finance стикається з новим витоком безпеки після того, як зловмисник експлуатував його контракт токена yETH та вивів мільйони в ETH та ліквідному стейкінгу з пулів Balancer. Резюме

• Вразливість націлилася на старий контракт yETH, що дозволило зловмиснику випустити необмежену кількість токенів і спорожнити пул Balancer.
• Близько 1,000 ETH було переміщено через Tornado Cash незабаром після атаки, при цьому більше активів все ще зберігається в гаманцях нападника.
• Yearn підтвердив, що проблема ізольована від його V2 та V3 Vaults і готує детальний звіт про інцидент.

Інцидент стався пізно ввечері 30 листопада, коли зловмисник активував уразливість безкінечного карбування в контракті yETH. Потім вони карбували надзвичайно велику кількість yETH, більше 235 трильйонів токенів, в одній транзакції.

З цими токенами зловмисник швидко пройшов через пули Balancer, видаляючи реальні активи, включаючи ETH та популярні стейкінгові деривативи. Попередні сліди показують, що близько $3 мільйонів пройшло через Tornado Cash незабаром після експлуатації, тоді як адреса зловмисника досі тримає додаткові активи, пов'язані з подією.

Експлуатація ізольована до спадщинного продукту yETH

Дані блокчейну показують, що пул yETH стейблсвап був спустошений протягом кількох хвилин, залишивши приблизно $2.8 мільйона дірки. Yearn Finance(YFI) повідомив, що проблема полягає в старішій реалізації yETH і не стосується його V2 або V3 Vaults. Протоколи, побудовані на Yearn V3, включаючи Katana, також повідомили про відсутність впливу.

Ми розслідуємо інцидент, пов'язаний з пулом стейблсвапів yETH LST.

Yearn Vaults (both V2 та V3) не підлягають впливу.

— yearn (@yearnfi) 30 листопада 2025

Незабаром перед атакою з'явилося кілька допоміжних контрактів і зникли через виклики самознищення, як тільки пул був вичерпаний, ускладнюючи слідкування.

Команди безпеки, які переглядали транзакції, включаючи аудиторів, що відстежують старі продукти Yearn, пов'язали подію з давньою вразливістю у логіці токена yETH, а не з проблемою в сучасній архітектурі сховищ Yearn.

Протокол підтримує активну програму винагород за виявлення помилок з нагородами до $200,000 за критичні виявлення, хоча шлях відновлення ще не був оголошений.

Інтенсивність переміщення в блокчейні зростає після зливу ліквідності

Незабаром після краху пулу користувач X Togbo помітив кілька рухів партій по 100 ETH, які проходили через Tornado Cash. Загалом було змішано близько 1,000 ETH у години після експлойту. Зловмисник все ще має додаткові активи вартістю кілька мільйонів доларів на кількох гаманцях.

деякі інші пов'язані з балансирами речі виглядають як експлойт, враховуючи інтенсивні взаємодії з торнадо

туга, Rocket Pool, Origin, Dinero та інші LST, що йдуть навколо pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) 30 листопада 2025

Пул yETH мав приблизно $11 мільйон до порушення, і хоча остаточна сума втрат все ще перебуває на розгляді, Yearn повідомив, що кошти користувачів у активних сховищах залишаються в безпеці.

Цей інцидент додає до тривалої історії протоколу з управління спадковими ризиками, що відбулося через кілька років після його експлуатації yDAI у 2021 році та неправильного налаштування скарбниці у 2023 році, що не вплинуло на вкладників. YFI знизився приблизно на 4% після події і торгувався близько $4,002 на момент публікації.