Компания Yearn Finance сообщила, что устаревший продукт YETH был подвержен эксплойту, который позволял злоумышленнику создать большое количество фальшивых токенов и обменять их на реальные активы.
Связанное чтение
Согласно внутрисетевым оповещениям и заявлениям протокола, злоумышленник создал практически бесконечный запас yETH за одну транзакцию, а затем использовал эти токены для майнинга ETH и ликвидных деривативов для ставок из пулов ликвидности.
Инцидент был впервые обнаружен 30 ноября 2025 года, а общий ущерб оценивается примерно в 9 миллионов долларов.
Эксплойт заключался в чеканке почти бесконечного количества токенов yETH, опустошая пул за одну транзакцию.
~1 тыс. $ETH (стоимостью около 3 миллионов долларов) был отправлен в #ТорнадоКэша у эксплуататора… pic.twitter.com/IXNygpwoWa
Как сработал подвиг
Сообщается, что злоумышленник воспользовался ошибкой в логике чеканки yETH и произвел токенов порядка 235 триллионов за один раз.
Эти бесполезные токены затем были обменены на реальные активы из пулов Balancer и Curve, привязанных к продукту, опустошив ликвидность за считанные минуты. Мониторы цепочки и исследователи безопасности показали, что монетный двор и последующие биржи очень быстро развивались на блокчейне.
30 ноября в 21:11 UTC произошел инцидент с пулом стабильной биржи yETH, в результате которого было выпущено большое количество yETH. Затронутый контракт представляет собой модифицированную версию популярного кода стабильной замены, не связанную с другими продуктами Yearn. Хранилища Yearn V2/V3 не подвергаются риску.
Какие активы были изъяты?
Отчеты показали, что около 8 миллионов долларов США было выведено из основного пула стабильной биржи yETH, а около 0,9 миллиона долларов США было взято из пула yETH-WETH.
Кроме того, около 1000 ETH стоимостью около 3 миллионов долларов на момент перевода были отправлены в Tornado Cash в попытке замести следы. Злоумышленник конвертировал фальшивые yETH в комбинацию ETH и токенов ликвидной ставки, прежде чем попытаться отмыть средства.
Общая капитализация крипторынка в настоящее время составляет $2,92 трлн. Диаграмма: влияние TradingView на основные продукты Yearn
По словам представителей Yearn и последующим репортажам, нарушение ограничивалось предыдущей, устаревшей реализацией продукта yETH и не затронуло основные хранилища Yearn V2 и V3.
Депозиты в пострадавшем пуле были изолированы, пока команда и внешние эксперты начали расследование. Говорят, что эта изоляция предотвратила прикосновение к большей части пользовательских средств в активных хранилищах.
Реакция рынка и более широкие проблемы
Связанное чтение
Компания Yearn Finance заявила, что работает со сторонними службами безопасности, чтобы провести вскрытие и устранить уязвимость. Сообщается, что в состав команд, упомянутых в репортаже, входят сторонние аудиторы и следователи по блокчейну, которые отслеживают украденные средства и консультируют по вариантам восстановления.
Рекомендации по протоколу предупреждают пользователей о уязвимом устаревшем продукте и призывают к осторожности в ходе проверки.
Рекомендованное изображение с Unsplash, диаграмма с TradingView
