Пул Yearn Finance yETH был эксплуатирован: $3 миллионов ETH отмыто через Tornado Cash

Протокол доходного фермерства Yearn Finance подтвердил эксплойт на своем продукте yETH 30 ноября 2025 года, когда злоумышленник произвел неограниченное количество токенов yETH и вывел примерно $3 миллион в активов из связанных пулов ликвидности. Украденные средства, оцененные примерно в 1,000 ETH, впоследствии были отмыты через приватный миксер Tornado Cash, согласно анализу в блокчейне.

Подробности инцидента

Атака была нацелена на старую реализацию пула стейблсвапа yETH на Balancer, что позволило злоумышленнику сгенерировать почти бесконечное количество токенов yETH за одну транзакцию. Это дало возможность атакующему вывести реальные активы, включая ETH и популярные деривативы ликвидного стекинга, оставив примерно $2.8 миллиона в пуле. Yearn Finance сообщила о происшествии в X, заявив: “Мы расследуем инцидент, связанный с пулом стейблсвапа yETH LST. Vaults Yearn ( как V2, так и V3) не затронуты.”

Блокчейн-эксплореры показывают, что Exploit был связан с недавно развернутыми смарт-контрактами, которые самоуничтожились после выполнения, скрывая следы. Затем злоумышленник разбил 1,000 ETH на более мелкие партии и направил их через Tornado Cash, санкционированный Протокол, известный тем, что скрывает истории транзакций.

Ответ Yearn и его масштаб

Yearn подчеркнул, что уязвимость была изолирована в экспериментальном контракте yETH и не затронула его основные хранилища V2 или V3, которые управляют активами более $500 миллионов. Протокол поддерживает действующую программу вознаграждений за ошибки с наградами до $200,000 за критические обнаружения, хотя немедленный путь восстановления не был объявлен. Подробный отчет будет предоставлен, так как команда продолжает свое расследование.

Компании безопасности, отслеживающие событие, включая аудиторов, проверяющих устаревшие продукты Yearn, связали нарушение с давней слабостью в логике токена yETH, а не с ошибкой в текущей архитектуре хранилища.

Более широкий контекст безопасности DeFi

Этот эксплойт является частью сложного месяца для DeFi, где сектор потерял примерно $127 million из-за хакерских атак, мошенничества и уязвимостей в ноябре 2025 года, согласно данным CertiK. Это подчеркивает продолжающиеся риски в старых реализациях смарт-контрактов, даже для устоявшихся протоколов, таких как Yearn, и важность отказа от устаревшего кода.

Прозрачная коммуникация Yearn и изоляция проблемы были отмечены сообществом, предотвратив более крупную катастрофу. Инцидент служит напоминанием для пользователей следить за обновлениями протокола и избегать экспериментальных продуктов с непатчеными уязвимостями.

В итоге, эксплойт Yearn yETH вывел $3 миллион активов, при этом злоумышленник минтил неограниченное количество токенов и отмывал средства через Tornado Cash. Yearn подтвердила, что проблема ограничена более старым контрактом, без влияния на основные хранилища, и проводит дальнейшее расследование, сохраняя свою программу вознаграждений за ошибки.