Протокол доходного фермерства Yearn Finance подтвердил эксплойт на своем продукте yETH 30 ноября 2025 года, когда злоумышленник произвел неограниченное количество токенов yETH и вывел примерно $3 миллион в активов из связанных пулов ликвидности. Украденные средства, оцененные примерно в 1,000 ETH, впоследствии были отмыты через приватный миксер Tornado Cash, согласно анализу в блокчейне.
Подробности инцидента
Атака была нацелена на старую реализацию пула стейблсвапа yETH на Balancer, что позволило злоумышленнику сгенерировать почти бесконечное количество токенов yETH за одну транзакцию. Это дало возможность атакующему вывести реальные активы, включая ETH и популярные деривативы ликвидного стекинга, оставив примерно $2.8 миллиона в пуле. Yearn Finance сообщила о происшествии в X, заявив: “Мы расследуем инцидент, связанный с пулом стейблсвапа yETH LST. Vaults Yearn ( как V2, так и V3) не затронуты.”
Блокчейн-эксплореры показывают, что Exploit был связан с недавно развернутыми смарт-контрактами, которые самоуничтожились после выполнения, скрывая следы. Затем злоумышленник разбил 1,000 ETH на более мелкие партии и направил их через Tornado Cash, санкционированный Протокол, известный тем, что скрывает истории транзакций.
Ответ Yearn и его масштаб
Yearn подчеркнул, что уязвимость была изолирована в экспериментальном контракте yETH и не затронула его основные хранилища V2 или V3, которые управляют активами более $500 миллионов. Протокол поддерживает действующую программу вознаграждений за ошибки с наградами до $200,000 за критические обнаружения, хотя немедленный путь восстановления не был объявлен. Подробный отчет будет предоставлен, так как команда продолжает свое расследование.
Компании безопасности, отслеживающие событие, включая аудиторов, проверяющих устаревшие продукты Yearn, связали нарушение с давней слабостью в логике токена yETH, а не с ошибкой в текущей архитектуре хранилища.
Более широкий контекст безопасности DeFi
Этот эксплойт является частью сложного месяца для DeFi, где сектор потерял примерно $127 million из-за хакерских атак, мошенничества и уязвимостей в ноябре 2025 года, согласно данным CertiK. Это подчеркивает продолжающиеся риски в старых реализациях смарт-контрактов, даже для устоявшихся протоколов, таких как Yearn, и важность отказа от устаревшего кода.
Прозрачная коммуникация Yearn и изоляция проблемы были отмечены сообществом, предотвратив более крупную катастрофу. Инцидент служит напоминанием для пользователей следить за обновлениями протокола и избегать экспериментальных продуктов с непатчеными уязвимостями.
В итоге, эксплойт Yearn yETH вывел $3 миллион активов, при этом злоумышленник минтил неограниченное количество токенов и отмывал средства через Tornado Cash. Yearn подтвердила, что проблема ограничена более старым контрактом, без влияния на основные хранилища, и проводит дальнейшее расследование, сохраняя свою программу вознаграждений за ошибки.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Раскрыт план квантового обновления Ethereum: сеть на 260 миллиардов долларов в гонке до 2029 года, полная защита от хардфорков
Фонд Ethereum опубликовал дорожную карту квантовой безопасности, планируя внедрить квантоустойчивые механизмы посредством хард-форка до 2029 года в целях противодействия угрозе квантовых вычислений для криптографии блокчейна. Это обновление включает оптимизацию поддержки открытых ключей и повышение безопасности сетей второго уровня, обеспечивая долгосрочную защиту. Риск того, что квантовые вычисления взломают существующие криптографические алгоритмы, уже привлек внимание биткойн-экосистемы и учреждений.
GateNews12м назад
ETH коснулась 2100 долларов, а во время отскока крупные киты сети накопили в течение дня в сумме 6161 млн позиций в длинную сторону
According to Hyperinsight monitoring, on March 25th, ETH rebounded after touching $2,100. Bulls opened positions worth $61.61 million, while bears opened positions worth $16.81 million. 10 whales opened long positions and 4 opened short positions. The largest long position was opened by the whale starting with 0x049, with 20x leverage and an amount of $20.07 million. The largest liquidation pressure comes from the 0x965 whale.
BlockBeatNews17м назад
Русский хакер осуществил атаку вымогательства на сумму 9 миллионов долларов, американский суд приговорил к 81 месяцу лишения свободы
Российский гражданин Алексей Волков приговорен к 81 месяцу тюремного заключения за оказание помощи группе, занимающейся вымогательским программным обеспечением, в атаках на американские компании. В качестве «брокера первоначального доступа» он осуществлял несанкционированный доступ к сетям, получал незаконные учетные данные и продавал их другим преступникам, что привело к убыткам более 9 миллионов долларов. Недавние исследования показывают, что количество атак вымогательского программного обеспечения увеличивается, но общий объем выплаченных средств снижается, поскольку злоумышленники переходят на более ценные цели.
MarketWhisper1ч назад
Фонд Ethereum запускает хаб по постквантовой безопасности после 8 лет исследований
Новая дорожная карта Ethereum устанавливает поэтапный путь к квантово-безопасной защите с постепенными обновлениями на основных уровнях сети.
Долгосрочные планы безопасности Ethereum становятся более ясными для общественности. Фонд Ethereum запустил специализированный центр постквантовой безопасности. Он объединяет многолетние исследования в области квантовой безопасности и технологий, а также разработки в этой сфере.
LiveBTCNews1ч назад
