Yearn Finance ha confermato il 30 novembre un exploit in corso che prendeva di mira il suo prodotto yETH, dopo che un attaccante ha coniato una quantità di token praticamente illimitata e ha drenato la liquidità dai pool di Balancer. L’incidente ha portato al furto di circa 2,8 milioni di dollari in asset. Circa 1.000 ETH sono stati riciclati tramite Tornado Cash poco dopo l’attacco, mentre i prezzi del token YFI sono saliti inaspettatamente da circa 4.080 a oltre 4.160 dollari in meno di un’ora nonostante le notizie negative.
Cosa è successo: attacco di mint infinito
L’exploit si è verificato intorno alle 21:11 UTC del 30 novembre, quando un wallet malevolo ha eseguito un attacco di mint infinito che ha creato circa 235 trilioni di yETH in un’unica transazione, secondo i dati on-chain.
Il sistema di allerta di Nansen ha confermato l’attacco.
La vulnerabilità era presente nel contratto del token yETH stesso, non nell’infrastruttura dei Vault di Yearn, e l’attaccante ha utilizzato i token appena coniati per drenare asset reali—principalmente ETH e Liquid Staking Token—dai pool di liquidità su Balancer.
Le prime stime indicano che sono stati rimossi circa 2,8 milioni di dollari in asset. Diversi contratti helper utilizzati nell’exploit sono stati deployati pochi minuti prima dell’incidente e poi auto-distrutti per offuscare le tracce, mentre circa 1.000 ETH sono stati riciclati tramite Tornado Cash poco dopo l’attacco.
Yearn ha dichiarato che i Vault V2 e V3 non sono stati colpiti e che la vulnerabilità sembra limitata alla vecchia implementazione di yETH.
Also Read: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Perché è importante: impatto sul mercato
La reazione del mercato ha preso una piega inaspettata. Poco dopo che l’exploit è stato segnalato sui social media e dagli analisti on-chain, il prezzo di YFI è salito da circa 4.080 a oltre 4.160 dollari in meno di un’ora, nonostante i titoli negativi che riguardavano l’ecosistema Yearn più ampio.
Il rialzo sembra legato a un’interpretazione errata del mercato nei primi minuti dell’incidente, quando le prime affermazioni su un “exploit di Yearn” hanno spinto all’apertura di posizioni short ad alta leva su YFI, dato che il token presenta una liquidità ridotta e storicamente ha mostrato movimenti ribassisti aggressivi durante gli hack.
Quando è diventato chiaro che l’attacco era isolato a yETH e non ai Vault di Yearn, gli short seller hanno iniziato a chiudere le loro posizioni. Ciò ha innescato un breve short squeeze e un picco di prezzo guidato dalla volatilità. L’offerta circolante di YFI è di sole 33.984 unità, il che lo rende uno dei principali asset di governance DeFi meno liquidi, amplificando i movimenti di prezzo soprattutto nei periodi di incertezza o di rapide liquidazioni.
Per ora, le perdite sembrano limitate ai pool yETH e Balancer interessati dall’exploit, mentre il Total Value Locked del protocollo rimane sopra i 600 milioni di dollari, suggerendo che i sistemi core non siano stati compromessi. Le indagini sono ancora in corso.
Read Next: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections