Yearn Finance подозревается в атаке, Хакер уже отправил 1,000 ETH украденных средств в Tornado Cash

1 декабря подозревается, что децентрализованный финансовый протокол Yearn Finance подвергся атаке, хакер исчерпал его ликвидностный пул с помощью бесконечного минтинга yETH.

Согласно информации от компании безопасности PeckShield, общие потери от этой атаки составили около 9 миллионов долларов.

Данные блокчейна показывают, что хакеры перевели 1000 ETH (примерно 3 миллиона долларов) в крипто-миксер Tornado Cash, при этом адреса хакеров по-прежнему хранят криптоактивы на сумму около 6 миллионов долларов.

!

01 Обзор события: пул yETH был быстро исчерпан

Продукт Yearn Ether (yETH) от Yearn Finance подвергся серьезной атаке 1 декабря; этот продукт является индексным токеном, который агрегирует несколько популярных токенов ликвидного стекинга (LST).

Атакующий через тщательно разработанную уязвимость за одну транзакцию минтил почти неограниченное количество yETH токенов, быстро исчерпав весь ликвидный пул.

Согласно данным блокчейна, данная атака затронула несколько новых развернутых смарт-контрактов, часть из которых немедленно самоуничтожается после завершения транзакции, что усложняет расследование инцидента.

После атаки Yearn Finance выпустила заявление на платформе X: “Мы расследуем инцидент, связанный с пулом yETH LST StableSwap, хранилища Yearn V2 и V3 не пострадали.”

02 Способы атаки: бесконечный минтинг и перемещение средств

Согласно наблюдениям пользователя X Togbe, они обнаружили эту аномальную атаку при мониторинге крупных переводов.

Тогбе объяснил: “Чистые переводы показывают, что yETH был чрезмерно минтингован, что позволило злоумышленникам каким-то образом исчерпать пул ликвидности и заработать около 1,000 ETH.”

В процессе атаки часть ETH была потеряна по неизвестным причинам, но атакующий все равно остался в прибыли.

После успешной атаки злоумышленник перевел 1000 ETH (стоимостью около 3 миллионов долларов) в Tornado Cash, который является децентрализованным протоколом конфиденциальности, часто используемым для сокрытия направления движения средств.

Согласно данным PeckShield, адрес злоумышленника в настоящее время все еще владеет криптоактивами стоимостью около 6 миллионов долларов.

03 Tornado Cash: Инструмент конфиденциальности и споры о отмывании денег

Tornado Cash является децентрализованным приватным протоколом на основе ETH, который помогает пользователям скрывать информацию о транзакциях с помощью технологии нулевых знаний.

Данный Протокол обеспечивает защиту конфиденциальности пользователей, разрывая цепочечные связи между адресами депозитов и выводов.

Однако эта особенность конфиденциальности также делает его предпочтительным инструментом для хакеров для отмывания денег.

Министерство финансов США в августе 2022 года внесло Tornado Cash в санкционный список, объяснив это тем, что с 2019 года хакерская группа Lazarus многократно использовала эту платформу для отмывания денег, в результате чего сумма достигала нескольких сотен миллионов долларов.

В марте 2025 года Tornado Cash наконец был удален из списка санкций Министерства финансов США, что рассматривается как важная победа для блокчейн-индустрии.

04 Безопасная история Yearn Finance

Это не первый раз, когда Yearn Finance сталкивается с инцидентом безопасности.

В 2021 году данный Протокол подвергся атаке, что затронуло его yDAI страховой фонд, приведя к потерям в 11 миллионов долларов, Хакер в конечном итоге получил прибыль в 2.8 миллиона долларов.

В декабре 2023 года из-за ошибки в скрипте в одном из резервуаров данного Протокола произошла потеря в 63%, но средства пользователей не пострадали.

Основатель Yearn Finance Андре Кронье запустил проект в 2020 году, но ушел через два года.

05 Влияние рынка и общее падение криптовалют

В момент атаки рынок криптовалют испытывает резкое падение.

1 декабря утром биткойн на время упал ниже 86 000 долларов, дневное снижение составило более 5%; эфириум также потерял уровень в 2900 долларов.

Данные Coinglass показывают, что за 24 часа ликвидации по всем криптовалютным контрактам превысили 500 миллионов долларов, а число ликвидаций достигло 177200.

Недавнее падение рынка может быть связано с рыночными слухами - сообщается, что председатель Федеральной резервной системы Пауэлл может уйти в отставку, однако зарубежные ведущие СМИ эту информацию не подтверждают, аналитики считают, что это, скорее всего, ложная новость.

06 Ответы отрасли и перспективы будущего

Каждое событие атаки хакеров вызывает сомнения в безопасности DeFi.

В деле Tornado Cash Министерство юстиции США в августе 2023 года предъявило уголовное обвинение соучредителям Tornado Cash Роману Шторму и Роману Семенову, обвиняя их в заговоре по отмыванию денег, незаконном ведении бизнеса по переводу средств и нарушении санкционных норм.

Отраслевые организации выступили против этого, Coin Center отметила: “рассматривать разработку открытого программного обеспечения как преступление — это подавление технологических инноваций.”

Для институциональных инвесторов случай Tornado Cash показывает, что регуляторы теперь требуют активного соблюдения норм, а не просто соблюдения проверки идентификации контрагента.

Организации необходимо внедрить систему мониторинга блокчейна в реальном времени и сочетать её с автоматизированным отбором санкций, чтобы идентифицировать и предотвращать проблемные транзакции до их возникновения.

Будущее

Блокчейн-безопасности компания PeckShield оценивает, что общие потери от этой атаки составляют около 9 миллионов долларов, из которых примерно 3 миллиона долларов были переведены в Tornado Cash, а адрес злоумышленника все еще владеет около 6 миллионов долларов криптоактивов.

По состоянию на момент публикации команда Yearn Finance все еще расследует это событие и подтверждает, что их хранилища V2 и V3 не пострадали. Этот инцидент еще раз подчеркивает постоянные проблемы, с которыми сталкивается область DeFi в отношении безопасности и соблюдения нормативных требований.