«Yearn Finance має справу з новим порушенням системи безпеки після того, як зловмисник скористався його контрактом на токени yETH і вивів мільйони ETH і ліквідних активів з пулів Balancer. Резюме Експлойт був націлений на старіший контракт yETH, дозволяючи зловмиснику карбувати необмежену кількість токенів і спорожняти пул Balancer. Близько 1000 ETH», — пишуть на: www.crypto.news
Yearn Finance має справу з новим порушенням системи безпеки після того, як зловмисник скористався його контрактом на токени yETH і вивів мільйони ETH і ліквідних активів з пулів Balancer.
Резюме
- Експлойт був націлений на старіший контракт yETH, дозволяючи зловмиснику карбувати необмежену кількість токенів і спорожняти пул Balancer.
- Близько 1000 ETH перейшли через Tornado Cash незабаром після атаки, причому більше активів все ще зберігається в гаманцях зловмисника.
- Yearn підтвердив, що проблема ізольована від його сховищ V2 і V3, і готує докладний звіт про інцидент.
Інцидент стався пізно ввечері 30 листопада, коли зловмисник запустив нескінченну помилку в контракті yETH. Потім вони викарбували неймовірно великий запас yETH, понад 235 трильйонів токенів, за одну транзакцію.
За допомогою цих токенів зловмисник швидко переміщався по пулах Balancer, видаляючи реальні активи, включаючи ETH і популярні похідні від ставок. Початкові сліди показують, що майже 3 мільйони доларів пройшли через Tornado Cash незабаром після експлойту, тоді як адреса зловмисника все ще містить додаткові активи, пов’язані з подією.
Експлойт ізольовано для застарілого продукту yETH
Дані блокчейну показують, що пул yETH stableswap був спорожнений за кілька хвилин, залишивши діру приблизно в 2,8 мільйона доларів. Yearn Finance (YFI) заявив, що проблема лежить у старішій реалізації yETH і не стосується його сховищ V2 або V3. Протоколи, побудовані на Yearn V3, включно з Katana, також повідомили про відсутність впливу.
Ми розслідуємо інцидент, пов’язаний з пулом yETH LST stableswap.
Сховища Yearn (як V2, так і V3) не впливають.
— yearn (@yearnfi) 30 листопада 2025 р
Кілька контрактів помічника з’явилися за кілька хвилин до атаки та зникли через виклики самознищення, коли пул було вичерпано, що ускладнило відслідковування сліду.
Команди безпеки, які перевіряли транзакції, включно з аудиторами, які відстежували старіші продукти Yearn, пов’язали подію з давньою слабкістю карбування в логіці токена yETH, а не з проблемою в поточній архітектурі сховища Yearn.
Протокол підтримує активну програму винагороди за помилки з винагородою, що досягає 200 000 доларів США за критичні відкриття, хоча шлях відновлення ще не оголошено.
Рух у ланцюзі посилюється після витоку ліквідності
Незабаром після краху пулу користувач X Togbo позначив кілька переміщень 100 партій ETH, що проходять через Tornado Cash. Загалом за кілька годин після експлойту було змішано близько 1000 ETH. Зловмисник все ще зберігає додаткові активи вартістю кілька мільйонів доларів у кількох гаманцях.
деякі інші речі, пов’язані з балансуванням, виглядають як експлойт, враховуючи важкі взаємодії з торнадо
yearn, rocket pool, origin, dinero та інші LST навколо pic.twitter.com/wUuexeQJyg
— Тогбе (@Togbe0x) 30 листопада 2025 р
До злому пул yETH мав приблизно 11 мільйонів доларів, і хоча остаточна сума збитків ще розглядається, Yearn сказав, що кошти користувачів у активних сховищах залишаються в безпеці.
Цей інцидент доповнює тривалий досвід протоколу щодо управління ризиками успадкованого протоколу, що відбувся через роки після його експлойту yDAI у 2021 році та неправильної конфігурації казначейства у 2023 році, яка не вплинула на вкладників. YFI знизився приблизно на 4% після події і торгувався близько $4002 на момент публікації.