Yearn Finance bestätigte am 30. November einen aktiven Exploit, der auf sein yETH-Produkt abzielte, nachdem ein Angreifer praktisch unbegrenzt viele Token geprägt und Liquidität aus Balancer-Pools abgezogen hatte. Der Vorfall führte zu gestohlenen Vermögenswerten im Wert von rund 2,8 Mio. US-Dollar. Etwa 1.000 ETH wurden kurz nach dem Angriff über Tornado Cash gewaschen, während der Kurs des YFI-Tokens trotz der negativen Nachrichten innerhalb einer Stunde unerwartet von knapp 4.080 US-Dollar auf über 4.160 US-Dollar sprang.
Was passiert ist: Infinite-Mint-Angriff
Der Exploit ereignete sich gegen 21:11 Uhr UTC am 30. November, als eine bösartige Wallet einen Infinite-Mint-Angriff ausführte, der laut Blockchain-Daten in einer einzigen Transaktion rund 235 Billionen yETH erzeugte.
Das Alarmsystem von Nansen bestätigte den Angriff.
Die Sicherheitslücke lag im yETH-Tokenvertrag selbst, nicht in der Vault-Infrastruktur von Yearn, und der Angreifer nutzte die neu geprägten Token, um reale Vermögenswerte – hauptsächlich ETH und Liquid Staking Tokens – aus Balancer-Liquiditätspools abzuziehen.
Erste Schätzungen deuten darauf hin, dass Vermögenswerte im Wert von rund 2,8 Mio. US-Dollar entwendet wurden. Mehrere Hilfsverträge, die bei dem Exploit verwendet wurden, wurden wenige Minuten vor dem Vorfall bereitgestellt und zerstörten sich anschließend selbst, um die Spur zu verwischen, während etwa 1.000 ETH kurz nach dem Angriff über Tornado Cash gewaschen wurden.
Yearn erklärte, dass V2- und V3-Vaults nicht betroffen seien und die Schwachstelle offenbar auf die Legacy-Implementierung von yETH beschränkt ist.
Auch lesen: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Warum es wichtig ist: Auswirkungen auf den Markt
Die Marktreaktion nahm eine unerwartete Wendung. Kurz nachdem der Exploit in sozialen Medien und von Blockchain-Analysten gemeldet wurde, stieg der YFI-Kurs trotz negativer Schlagzeilen rund um das breitere Yearn-Ökosystem innerhalb einer Stunde von knapp 4.080 US-Dollar auf über 4.160 US-Dollar.
Der Kursanstieg scheint auf eine Fehlinterpretation in den ersten Minuten des Vorfalls zurückzugehen, als erste Meldungen über einen „Yearn-Exploit“ hoch gehebelte Short-Positionen auf YFI auslösten – angesichts der geringen Liquidität des Tokens und der historischen Tendenz zu starken Kursrückgängen bei Hacks.
Als klar wurde, dass der Angriff auf yETH beschränkt und nicht auf Yearns Vaults gerichtet war, begannen Short-Seller, ihre Positionen einzudecken. Dies löste einen kurzen Short Squeeze und einen volatilitätsgetriebenen Kurssprung aus. Das zirkulierende Angebot von YFI beträgt nur 33.984 Token und macht ihn zu einem der illiquidesten großen DeFi-Governance-Assets, was Kursbewegungen insbesondere in Phasen von Unsicherheit oder schnellen Liquidationen verstärkt.
Derzeit scheinen sich die Verluste auf die von dem Exploit betroffenen yETH- und Balancer-Pools zu beschränken, während der in das Protokoll gesperrte Gesamtwert (Total Value Locked) über 600 Mio. US-Dollar bleibt, was darauf hindeutet, dass die Kernsysteme nicht kompromittiert wurden. Die Untersuchungen dauern an.
Als Nächstes lesen: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections