Yearn Financeが攻撃を受けた疑いがあり、ハッカーは1,000枚のETHの盗まれた資金をTornado Cashに送信しました。

12月1日、分散型金融プロトコルYearn Financeが攻撃を受けた疑いがあり、ハッカーが無限ミンティングyETHの方法でその流動性資金プールを枯渇させました。

安全会社PeckShieldの報告によると、今回の攻撃による総損失は約900万ドルに達する。

ブロックチェーンのデータによると、攻撃者は1000枚のETH（約300万ドル）を暗号ミキサーTornado Cashに移転させており、攻撃者のアドレスは現在約600万ドルの暗号資産を保持しています。

!

01 イベント概要：yETH プールが迅速に引き抜かれました

Yearn Finance の Yearn Ether（yETH）製品は 12 月 1 日に深刻な攻撃を受けました。この製品は、さまざまな人気の流動性ステーキングトークン（LST）を集約したインデックストークンです。

攻撃者は巧妙に設計された脆弱性を利用して、1回の取引でほぼ無限量の yETH トークンをミンティングし、瞬時に全ての流動性資金プールを枯渇させました。

ブロックチェーンデータによると、今回の攻撃は複数の新しく展開されたスマートコントラクトに関与しており、その中のいくつかは取引完了後に即座に自己破壊するため、事件調査の複雑さが増しています。

攻撃が発生した後、Yearn FinanceはXプラットフォームで声明を発表しました：「私たちはyETH LST StableSwapプールに関与する事件を調査しています。YearnのV2およびV3金庫は影響を受けていません。」

02 攻撃手法：無限ミンティングと資金移動

XユーザーTogbeの監視によると、彼らは大額の送金を監視している際にこの異常な攻撃を発見しました。

トグベは説明した：「純送金は yETH が過剰にミンティングされていることを示しており、これにより攻撃者は何らかの方法で資金プールを抜き取って約 1,000 枚の ETH を得ることができた。」

攻撃の過程で、一部の ETH が未知の理由で犠牲になりましたが、攻撃者は最終的に利益を得ました。

攻撃者は成功した後、1000枚のETH（約300万ドルの価値）をTornado Cashに転送しました。これは資金の流れを隠すためによく使われる分散型のプライバシープロトコルです。

PeckShieldのデータによると、攻撃者のアドレスは現在約600万ドル相当の暗号資産を保持しています。

03 トルネードキャッシュ：プライバシーツールとマネーロンダリングの論争

Tornado Cashは、イーサリアムに基づく分散型プライバシープロトコルで、ゼロ知識証明技術を用いてユーザーの取引情報を隠すのを助けます。

このプロトコルは、入出金アドレス間のオンチェーンリンクを切断することで、ユーザーにプライバシー保護を提供します。

しかし、このプライバシー機能は、ハッカーによるマネーロンダリングの優先ツールにもなっています。

アメリカ財務省は2022年8月にTornado Cashを制裁リストに載せました。その理由は、2019年以降、ハッカー組織Lazarusがこのプラットフォームを使用して数億ドルに上るマネーロンダリングを何度も行ってきたためです。

2025年3月、Tornado Cashはついにアメリカ財務省の制裁リストから削除され、これはブロックチェーン業界にとって重要な勝利と見なされている。

04 Yearn Finance のセキュリティの歴史

これはYearn Financeが初めて安全事件に遭遇したわけではありません。

2021年、そのプロトコルは攻撃を受け、yDAIの保険庫に影響を及ぼし、1100万ドルの損失を引き起こしました。ハッカーは最終的に280万ドルの利益を得ました。

2023年12月、スクリプトエラーにより、そのプロトコルの1つの金庫ポジションが63%の損失を被りましたが、ユーザーの資金には影響がありませんでした。

Yearn Financeの創設者Andre Cronjeは2020年にこのプロジェクトを開始しましたが、2年後には離脱しました。

05 市場への影響と暗号通貨の全体的な衰退

攻撃が発生した時、暗号通貨市場は大幅な下落を経験しています。

12月1日朝、ビットコインは一時8.6万ドルを下回り、日内の下落幅は5％を超えた；イーサリアムも2900ドルの関門を失った。

Coinglassのデータによると、24時間内に暗号通貨全体の契約での清算が5億ドルを超え、清算された人数は17.72万人に達しました。

今回の市場の下落は、市場の噂に関連している可能性があります——米連邦準備制度理事会のパウエル議長が辞職する可能性があるとの情報が流れていますが、海外の主流メディアはこの情報を報じていません。アナリストは、これが高確率で偽情報であると考えています。

06 業界の反応と将来の見通し

毎回のハッカー攻撃事件は、分散型金融の安全性についての疑問を引き起こします。

トルネードキャッシュの事例では、アメリカ司法省は2023年8月にトルネードキャッシュの共同創設者ロマン・ストームとロマン・セメノフに対して刑事訴訟を提起し、彼らが共謀してマネーロンダリングを行い、許可なく資金移転業務を運営し、制裁規則に違反したと非難しました。

業界団体はこれに反対しており、Coin Centerは「オープンソースソフトウェアの開発行為を犯罪と見なすことは技術革新への抑圧である」と指摘しています。

機関投資家にとって、Tornado Cash の事例は、規制当局が現在、取引相手の本人確認に従うだけでなく、能動的なコンプライアンスを求めていることを示しています。

機関はリアルタイムのブロックチェーン監視システムを実装し、自動化された制裁フィルタリングと組み合わせて、問題の取引が発生する前にそれらを特定し阻止する必要があります。

今後の展望

ブロックチェーンセキュリティ会社のPeckShieldは、この攻撃によって発生した総損失が約900万ドルで、そのうち約300万ドルがTornado Cashに転送され、攻撃者のアドレスは約600万ドルの暗号資産を保持していると見積もっています。

発表時点で、Yearn Finance チームはこの事件を調査中であり、V2 と V3 の金庫に影響がないことを確認しています。本事件は再び、DeFi 領域が安全性と規制遵守の間で直面している継続的な課題を浮き彫りにしています。