Yearn Finance підозрює, що зазнала атаки, Хакер вже відправив 1,000 ETH вкрадених коштів до Tornado Cash

1 грудня, Децентралізоване фінансування протокол Yearn Finance, ймовірно, зазнав атаки, Хакер через безкінечний мінтинг yETH вичерпав його Ліквідність.

Згідно з повідомленням безпекової компанії PeckShield, загальні збитки від атаки становлять близько 9 мільйонів доларів.

Дані блокчейну показують, що зловмисники перевели 1000 монет ETH (приблизно 3 мільйони доларів) до криптоміксера Tornado Cash, а адреса зловмисників наразі все ще має криптоактиви вартістю приблизно 6 мільйонів доларів.

!

01 Огляд події: yETH пул був швидко висмоктаний

Продукт Yearn Ether (yETH) від Yearn Finance зазнав серйозної атаки 1 грудня; цей продукт є індексним токеном, що агрегує кілька популярних токенів для ліквідного стейкінгу (LST).

Атакуючи, завдяки ретельно продуманій вразливості, в одній транзакції він мінтить практично безкінечну кількість токенів yETH, швидко висмоктуючи весь ліквідний пул.

Згідно з даними блокчейну, ця атака стосувалася кількох нових розгорнутіх смарт-контрактів, частина з яких самознищувалася одразу після завершення угоди, що ускладнює розслідування події.

Після атаки Yearn Finance опублікував заяву на платформі X: “Ми розслідуємо інцидент, що стосується пулу yETH LST StableSwap, сховище Yearn V2 та V3 не постраждало.”

02 Атака: безкінечний мінтинг та переміщення коштів

Згідно з моніторингом користувача X Togbe, вони виявили цю аномальну атаку під час моніторингу великих переказів.

Togbe пояснив: “Чистий переказ показує, що yETH був надто сильно мінтований, що дозволило зловмисникам якимось чином висмоктувати кошти з пулу і отримати прибуток близько 1,000 ETH.”

Під час атаки частина ETH була втрачена з невідомих причин, але нападник все ж отримав прибуток.

Після успішної атаки зловмисник перевів 1000 монет ETH (вартістю близько 3 мільйонів доларів) у Tornado Cash, який є децентралізованим протоколом конфіденційності, що часто використовується для приховування напрямку коштів.

Згідно з даними PeckShield, адреса атакувальника наразі все ще володіє криптоактивами на суму близько 6 мільйонів доларів.

03 Tornado Cash: інструмент конфіденційності та суперечка з приводу відмивання грошей

Tornado Cash є децентралізованим протоколом конфіденційності на базі ETH, який допомагає користувачам приховувати інформацію про транзакції за допомогою технології нульових знань.

Цей протокол забезпечує захист конфіденційності користувачів, розриваючи зв'язки на ланцюгу між адресами депозитів і зняттів.

Однак ця приватність також робить його вибором номер один для хакерів для відмивання грошей.

Міністерство фінансів США раніше в серпні 2022 року внесло Tornado Cash до списку санкцій, оскільки з 2019 року хакерська організація Lazarus неодноразово використовувала цю платформу для відмивання грошей, що стосувалося сум у кілька сотень мільйонів доларів.

У березні 2025 року Tornado Cash нарешті було виключено з санкційного списку Міністерства фінансів США, що вважається важливою перемогою для індустрії блокчейну.

04 Історія безпеки Yearn Finance

Це не перший інцидент безпеки для Yearn Finance.

У 2021 році протокол зазнав атаки, що вплинула на його yDAI страховий фонд, завдавши збитків у 11 мільйонів доларів, а хакер в підсумку отримав прибуток у 2,8 мільйона доларів.

У грудні 2023 року, через помилку в скрипті, один з трюків цього протоколу зазнав 63% втрат, але кошти користувачів не постраждали.

Засновник Yearn Finance Андре Кроньє запустив цей проект у 2020 році, але через два роки залишив його.

05 Вплив ринку та загальне падіння криптовалют

В момент атаки ринок криптовалют зазнає значного падіння.

1 грудня вранці біткойн впав нижче 86 тисяч доларів, денне зниження перевищило 5%; ефір також впав нижче 2900 доларів.

Дані Coinglass показують, що за 24 години в мережі криптовалют було ліквідовано контрактів на понад 5 мільярдів доларів, а кількість ліквідованих осіб досягла 177,2 тисяч.

Цей ринок впав, можливо, пов'язано з чутками на ринку — повідомляється, що голова ФРС Пауелл може піти у відставку, однак провідні закордонні ЗМІ не повідомляли про це. Аналітики вважають, що це, ймовірно, неправда.

06 Відповідь галузі та перспективи майбутнього

Кожен випадок атаки хакерів викликає сумніви щодо безпеки DeFi.

У справі Tornado Cash Міністерство юстиції США у серпні 2023 року пред'явило кримінальні звинувачення співзасновникам Tornado Cash Роману Шторму та Роману Семенову, звинувативши їх у змові щодо відмивання грошей, несанкціонованій діяльності з переказу коштів та порушенні санкційних норм.

Галузеві організації висловили протест, Coin Center зазначив: “Розгляд розробки програмного забезпечення з відкритим кодом як злочину є тиском на технічні інновації.”

Для інституційних інвесторів справа Tornado Cash показує, що регулятори тепер вимагають активного дотримання норм, а не лише дотримання перевірки особи контрагента.

Установи повинні впровадити систему моніторингу блокчейн у режимі реального часу та поєднати її з автоматизованим відбором санкцій, щоб ідентифікувати та зупинити проблемні транзакції до їх виникнення.

Перспективи майбутнього

Блокчейн безпеки компанії PeckShield оцінює, що загальні втрати від цієї атаки склали близько 9 мільйонів доларів, з яких близько 3 мільйонів доларів були переведені в Tornado Cash, а адреса зловмисника все ще володіє близько 6 мільйонів доларів криптоактивів.

Станом на момент публікації команда Yearn Finance все ще проводить розслідування цього інциденту та підтверджує, що їхні V2 та V3 сейфи не постраждали. Цей інцидент ще раз підкреслює постійні виклики, з якими стикається сфера DeFi у питаннях безпеки та дотримання регуляторних вимог.