Yearn Finance bị tấn công khai thác yETH với $3M gửi đến Tornado Cash

Yearn Finance đang đối mặt với một vụ vi phạm bảo mật mới sau khi một kẻ tấn công khai thác hợp đồng token yETH của nó và rút hàng triệu ETH và tài sản thế chấp thanh khoản từ các pool Balancer. Tóm tắt

• Cuộc tấn công nhắm vào một hợp đồng yETH cũ hơn, cho phép kẻ tấn công đúc một lượng token không giới hạn và làm trống bể Balancer.
• Khoảng 1.000 ETH đã được chuyển qua Tornado Cash ngay sau cuộc tấn công, với nhiều tài sản vẫn được giữ trong ví của kẻ tấn công.
• Yearn xác nhận vấn đề này đã được cách ly khỏi các Vault V2 và V3 của nó và đang chuẩn bị một báo cáo chi tiết về sự cố.

Vụ việc xảy ra vào tối ngày 30 tháng 11 khi một kẻ tấn công kích hoạt một lỗi in vô hạn bên trong hợp đồng yETH. Họ sau đó đã phát hành một lượng yETH khổng lồ, hơn 235 triệu triệu token, trong một giao dịch duy nhất.

Với những token đó, kẻ tấn công đã di chuyển nhanh chóng qua các pool Balancer, loại bỏ các tài sản thực, bao gồm ETH và các sản phẩm thế chấp phổ biến. Những dấu vết ban đầu cho thấy gần $3 triệu đã chảy qua Tornado Cash ngay sau khi khai thác, trong khi địa chỉ của kẻ tấn công vẫn giữ thêm các tài sản liên quan đến sự kiện.

Lỗ hổng được cô lập trong sản phẩm yETH cũ

Dữ liệu blockchain cho thấy bể stableswap yETH đã bị rút hết trong vòng vài phút, để lại một khoảng trống khoảng 2,8 triệu đô la. Yearn Finance(YFI) cho biết vấn đề nằm trong một phiên bản cũ của yETH và không ảnh hưởng đến các Vault V2 hoặc V3 của nó. Các giao thức được xây dựng trên Yearn V3, bao gồm Katana, cũng báo cáo không có sự tiếp xúc.

Chúng tôi đang điều tra một sự cố liên quan đến pool stableswap yETH LST.

Yearn Vaults ( cả V2 và V3) không bị ảnh hưởng.

— yearn (@yearnfi) 30 tháng 11, 2025

Một số hợp đồng trợ giúp xuất hiện ngay trước khi cuộc tấn công xảy ra và biến mất thông qua các cuộc gọi tự hủy sau khi bể chứa bị rút cạn, khiến cho việc truy dấu trở nên khó khăn hơn.

Các đội ngũ an ninh đang xem xét các giao dịch, bao gồm cả các kiểm toán viên theo dõi các sản phẩm cũ của Yearn, đã liên kết sự kiện này với một điểm yếu trong việc đúc lâu dài bên trong logic của token yETH, thay vì một vấn đề trong kiến trúc kho hiện tại của Yearn.

Giao thức duy trì một chương trình thưởng lỗi trực tiếp với phần thưởng lên tới 200.000 đô la cho các phát hiện quan trọng, mặc dù vẫn chưa có lộ trình khôi phục nào được công bố.

Sự di chuyển trên chuỗi gia tăng sau khi rút thanh khoản

Ngay sau khi bể bơi sụp đổ, người dùng X Togbo đã báo cáo về nhiều giao dịch của các lô 100 ETH đi qua Tornado Cash. Khoảng 1.000 ETH đã được trộn trong vài giờ sau khi xảy ra vụ khai thác. Kẻ tấn công vẫn giữ thêm tài sản trị giá hàng triệu đô la trên nhiều ví.

một số thứ liên quan đến balancer trông giống như một lỗ hổng xem xét các tương tác nặng nề với tornado

yearn, rocket pool, origin, dinero và các LST khác đang lưu hành pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) Ngày 30 tháng 11, 2025

Bể yETH có khoảng $11 triệu trước khi xảy ra sự cố, và trong khi số tiền thiệt hại cuối cùng vẫn đang được xem xét, Yearn cho biết quỹ của người dùng trong các kho tài sản đang hoạt động vẫn an toàn.

Sự cố này đã bổ sung vào hồ sơ dài của giao thức về việc quản lý các rủi ro di sản, diễn ra nhiều năm sau vụ khai thác yDAI vào năm 2021 và một sự cấu hình sai trong kho bạc vào năm 2023 không ảnh hưởng đến những người gửi tiền. YFI đã giảm khoảng 4% sau sự kiện và giao dịch gần 4,002 USD vào thời điểm báo chí.