Yearn Finance yETHプールの悪用:トルネードキャッシュを通じて洗浄されたETHの$3 Million

イールドファーミングプロトコル Yearn Finance は、2025年11月30日にその yETH プロダクトでのエクスプロイトを確認しました。攻撃者は yETH トークンの無限供給をミントし、接続された流動性プールから約 $3 百万 の資産を排出しました。盗まれた資金は約 1,000 ETH 相当で、オンチェーン分析によると、その後プライバシーミキサー Tornado Cash を通じてマネーロンダリングされました。

インシデントの詳細

攻撃は、Balancer上の古いyETHステーブルスワッププールの実装を標的とし、悪用者が単一のトランザクションでほぼ無限の数のyETHトークンを生成できるようにしました。これにより、攻撃者はETHや人気の流動的ステーキングデリバティブを含む実際の資産を引き出すことができ、プールには約**$2.8百万の穴**が残されました。Yearn FinanceはXでこの事件を報告し、次のように述べました: “yETH LSTステーブルスワッププールに関与する事件を調査中です。Yearn Vaults (のV2およびV3)は影響を受けていません。”

ブロックチェーンエクスプローラーは、実行後に自己破壊する新しく展開されたスマートコントラクトが関与する exploit を示しており、その痕跡を隠しています。攻撃者は次に、1,000 ETH をより小さなバッチに分割し、取引履歴を不明瞭にすることで知られる制裁対象プロトコルであるトルネードキャッシュを通じてルーティングしました。

Yearnの反応と範囲

Yearnは、脆弱性が実験的なyETH契約に限定されており、コアのV2またはV3 Vaultsには影響を与えていないと強調しました。これらのVaultsは、$500 百万ドル以上の資産を管理しています。プロトコルは、重要な発見に対して最大**$200,000**の報酬を提供するライブバグバウンティプログラムを維持していますが、即時の回復策は発表されていません。チームが調査を続ける中、詳細な報告書が近日中に公開される予定です。

イベントを追跡しているセキュリティ企業、特にYearnのレガシー製品をレビューしている監査法人は、この侵害をyETHトークンロジックの長年のミントの弱点に起因するとし、現在のボールトアーキテクチャの欠陥ではないとしています。

DeFiセキュリティにおける広範な文脈

この脆弱性は、DeFiにとって厳しい月の一部であり、2025年11月において、CertiKのデータによると、ハッキング、詐欺、脆弱性によっておよそ**$127 百万**を失ったことを示しています。これは、Yearnのような確立されたプロトコルでさえ、古いスマートコントラクトの実装における継続的なリスクと、レガシーコードを廃止することの重要性を強調しています。

Yearnの透明なコミュニケーションと問題の隔離はコミュニティから称賛されており、より大規模な災害を防いでいます。この事件は、ユーザーがプロトコルのアップデートを監視し、パッチが適用されていない脆弱性を持つ実験的な製品を避けるようにするための警告となっています。

要約すると、Yearn yETH の脆弱性により $3 百万の資産が流出し、攻撃者は無限のトークンをミントし、Tornado Cash を通じて資金を洗浄しました。Yearn は、問題が古い契約に限定されており、コアボールトには影響がないことを確認しており、さらなる調査を行いながらバグバウンティプログラムを維持しています。