Yearn Finance nghi ngờ bị tấn công, Hacker đã gửi 1,000 đồng ETH từ số tiền bị đánh cắp đến Tornado Cash

Vào ngày 1 tháng 12, giao thức tài chính phi tập trung Yearn Finance dường như đã bị tấn công, hacker đã tiêu hao thanh khoản của nó bằng cách đang đúc yETH vô hạn.

Theo công ty an ninh PeckShield tiết lộ, tổng thiệt hại do cuộc tấn công này gây ra khoảng 9 triệu đô la.

Dữ liệu blockchain cho thấy, kẻ tấn công đã chuyển 1000 ETH (khoảng 3 triệu đô la) đến trình trộn tiền điện tử Tornado Cash, trong khi địa chỉ của kẻ tấn công hiện vẫn nắm giữ tài sản tiền điện tử trị giá khoảng 6 triệu đô la.

01 Tóm tắt sự kiện: Hồ yETH bị rút nhanh chóng

Sản phẩm Yearn Ether (yETH) của Yearn Finance đã gặp phải một cuộc tấn công nghiêm trọng vào ngày 1 tháng 12, sản phẩm này là một mã thông báo chỉ số tổng hợp nhiều loại mã thông báo thanh khoản staking phổ biến (LST).

Kẻ tấn công thông qua một lỗ hổng được thiết kế cẩn thận, đã đang đúc gần như vô hạn lượng yETH token trong một giao dịch, nhanh chóng rút cạn toàn bộ thanh khoản.

Theo dữ liệu blockchain, cuộc tấn công này liên quan đến nhiều hợp đồng thông minh mới được triển khai, trong đó một số hợp đồng tự hủy ngay sau khi giao dịch hoàn thành, điều này làm tăng độ phức tạp của việc điều tra sự kiện.

Sau khi tấn công xảy ra, Yearn Finance đã phát hành tuyên bố trên nền tảng X: “Chúng tôi đang điều tra sự cố liên quan đến hồ bơi yETH LST StableSwap, kho V2 và V3 của Yearn không bị ảnh hưởng.”

02 Phương pháp tấn công: Đang đúc vô hạn và chuyển tiền

Theo sự giám sát của người dùng X Togbe, họ đã phát hiện ra cuộc tấn công bất thường này khi đang theo dõi các giao dịch chuyển khoản lớn.

Togbe giải thích: “Chuyển khoản ròng cho thấy yETH đã bị đúc quá mức, điều này cho phép kẻ tấn công có thể rút cạn quỹ và thu lợi khoảng 1,000 ETH.”

Trong quá trình tấn công, một phần ETH bị hy sinh vì lý do không rõ, nhưng kẻ tấn công cuối cùng vẫn thu được lợi nhuận.

Sau khi thực hiện thành công, kẻ tấn công đã chuyển 1000 ETH (trị giá khoảng 3 triệu USD) vào Tornado Cash, đây là một giao thức phi tập trung về quyền riêng tư, thường được sử dụng để ẩn giấu hướng đi của tài chính.

Theo dữ liệu của PeckShield, địa chỉ của kẻ tấn công hiện vẫn nắm giữ khoảng 6 triệu đô la tài sản tiền điện tử.

03 Tornado Cash: Công cụ bảo mật và tranh cãi về rửa tiền

Tornado Cash là một giao thức bảo mật phi tập trung dựa trên Ethereum, giúp người dùng ẩn thông tin giao dịch thông qua công nghệ chứng minh không kiến thức.

Giao thức này cung cấp bảo vệ quyền riêng tư cho người dùng bằng cách cắt đứt liên kết trên chuỗi giữa các địa chỉ gửi và nhận.

Tuy nhiên, đặc điểm bảo mật này cũng khiến nó trở thành công cụ ưa thích của hacker để rửa tiền.

Bộ Tài chính Hoa Kỳ đã đưa Tornado Cash vào danh sách trừng phạt vào tháng 8 năm 2022, với lý do rằng kể từ năm 2019, tổ chức hacker Lazarus đã nhiều lần sử dụng nền tảng này để rửa tiền, với số tiền lên đến hàng trăm triệu đô la.

Vào tháng 3 năm 2025, Tornado Cash cuối cùng đã được gỡ bỏ khỏi danh sách trừng phạt của Bộ Tài chính Hoa Kỳ, điều này được coi là một chiến thắng quan trọng của ngành công nghiệp blockchain.

04 Lịch sử an toàn của Yearn Finance

Đây không phải là lần đầu tiên Yearn Finance gặp sự cố an ninh.

Năm 2021, giao thức này đã bị tấn công, ảnh hưởng đến kho bảo hiểm yDAI của nó, gây ra thiệt hại 11 triệu đô la, hacker cuối cùng đã thu lợi 2,8 triệu đô la.

Vào tháng 12 năm 2023, do lỗi kịch bản, một vị trí kho của giao thức đã xảy ra thiệt hại 63%, nhưng vốn của người dùng không bị ảnh hưởng.

Người sáng lập Yearn Finance, Andre Cronje, đã khởi động dự án này vào năm 2020, nhưng đã rời đi sau hai năm.

05 Ảnh hưởng thị trường và sự sụt giảm tổng thể của tiền điện tử

Vào thời điểm xảy ra cuộc tấn công, thị trường tiền điện tử đang trải qua sự sụt giảm mạnh.

Vào sáng ngày 1 tháng 12, Bitcoin đã có lúc giảm xuống dưới 86.000 USD, với mức giảm trong ngày vượt quá 5%; Ethereum cũng đã mất mốc 2900 USD.

Dữ liệu từ Coinglass cho thấy, trong 24 giờ qua, tổng số hợp đồng tiền điện tử trên toàn mạng đã bị thanh lý hơn 500 triệu đô la, số người bị thanh lý đạt 177.200.

Sự sụt giảm của thị trường lần này có thể liên quan đến tin đồn trên thị trường - có thông tin cho rằng Chủ tịch Cục Dự trữ Liên bang Mỹ, Jerome Powell có thể từ chức, tuy nhiên các phương tiện truyền thông chính thống ở nước ngoài chưa đưa tin về thông tin này, các nhà phân tích cho rằng đây có khả năng là tin giả.

06 Phản hồi của ngành và triển vọng tương lai

Mỗi sự kiện tấn công của hacker đều gây ra những nghi ngờ về tính an toàn của DeFi.

Trong trường hợp Tornado Cash, Bộ Tư pháp Hoa Kỳ đã đệ đơn kiện hình sự đối với hai người đồng sáng lập Tornado Cash là Roman Storm và Roman Semenov vào tháng 8 năm 2023, cáo buộc họ âm mưu rửa tiền, điều hành hoạt động chuyển tiền mà không có giấy phép và vi phạm quy định trừng phạt.

Các tổ chức trong ngành đã bày tỏ sự phản đối, Coin Center chỉ ra rằng, “Việc coi hành vi phát triển phần mềm mã nguồn mở là tội phạm là một sự đàn áp đối với đổi mới công nghệ.”

Đối với các nhà đầu tư tổ chức, vụ việc Tornado Cash cho thấy các cơ quan quản lý hiện yêu cầu tuân thủ chủ động, chứ không chỉ là tuân thủ xác thực danh tính đối tác giao dịch.

Các tổ chức cần triển khai hệ thống giám sát blockchain theo thời gian thực và kết hợp với việc sàng lọc tự động các biện pháp trừng phạt để nhận diện và ngăn chặn các giao dịch vấn đề trước khi chúng xảy ra.

Triển vọng tương lai

Công ty an ninh blockchain PeckShield ước tính tổng thiệt hại do cuộc tấn công này khoảng 9 triệu USD, trong đó khoảng 3 triệu USD đã được chuyển vào Tornado Cash, địa chỉ của kẻ tấn công vẫn nắm giữ khoảng 6 triệu USD tài sản tiền điện tử.

Tính đến thời điểm viết bài, đội ngũ Yearn Finance vẫn đang điều tra sự kiện này và xác nhận rằng kho V2 và V3 của họ không bị ảnh hưởng. Sự kiện này một lần nữa làm nổi bật những thách thức liên tục mà lĩnh vực DeFi đang phải đối mặt giữa tính an toàn và sự tuân thủ quy định.