Yearn Finance는 11월 30일, 공격자가 사실상 무제한의 토큰을 발행해 Balancer 풀에서 유동성을 고갈시키는 익스플로잇이 자사 yETH 상품을 겨냥해 진행 중이라고 확인했다. 이 사건으로 약 280만 달러 규모의 자산이 탈취됐다. 공격 직후 약 1,000 ETH 가 Tornado Cash를 통해 세탁되었으며, 부정적인 소식에도 불구하고 YFI 토큰 가격은 약 4,080달러에서 1시간 만에 4,160달러를 상회하는 수준으로 예상 밖의 급등을 보였다.
What Happened: Infinite-Mint Attack
이 익스플로잇은 블록체인 데이터에 따르면 11월 30일 UTC 기준 오후 9시 11분 무렵, 악의적인 지갑이 단일 트랜잭션에서 약 235조 개의 yETH를 생성한 무한 발행(infinite-mint) 공격을 실행했을 때 발생했다.
Nansen의 알림 시스템이 이 공격을 확인했다.
취약점은 Yearn의 볼트(Vault) 인프라가 아닌 yETH 토큰 컨트랙트 자체에 존재했으며, 공격자는 새로 발행된 토큰을 사용해 Balancer 유동성 풀에서 실제 자산, 주로 ETH와 리퀴드 스테이킹 토큰을 빼내 갔다.
초기 추산에 따르면 약 280만 달러 상당의 자산이 유출된 것으로 보인다. 익스플로잇에 사용된 여러 보조 컨트랙트는 사건 발생 몇 분 전 배포되었으며, 흔적을 지우기 위해 이후 self-destruct를 호출했다. 공격 직후 약 1,000 ETH가 Tornado Cash를 통해 세탁되었다.
Yearn 측은 V2 및 V3 볼트는 영향을 받지 않았으며, 취약점은 구(레거시) yETH 구현에 한정된 것으로 보인다고 밝혔다.
Also Read: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Why It Matters: Market Impact
시장 반응은 예상 밖의 방향으로 전개되었다. 소셜 미디어와 온체인 분석가들이 익스플로잇을 포착한 직후, YFI의 가격은 Yearn 생태계 전반을 둘러싼 부정적인 헤드라인에도 불구하고 약 4,080달러에서 1시간 만에 4,160달러를 상회하는 수준으로 상승했다.
이 가격 급등은 사건 초기 몇 분 동안의 시장 오해와 연관된 것으로 보인다. 처음에 “Yearn 익스플로잇”이라는 주장들이 나오자, 토큰의 낮은 유동성과 과거 해킹 사건 때의 공격적인 하락 패턴을 근거로 YFI에 대해 고레버리지 공매도 포지션이 대거 열렸다.
이후 공격이 Yearn 볼트가 아닌 yETH에 국한된 것으로 드러나자, 공매도 트레이더들이 포지션을 청산하며 숏 커버링에 나섰고, 이 과정에서 짧은 숏스퀴즈와 변동성 기반의 급등이 촉발되었다. YFI의 유통 물량은 33,984개에 불과해, 주요 DeFi 거버넌스 자산 가운데 유동성이 가장 낮은 편에 속하며, 이는 특히 불확실성이 커지거나 청산 흐름이 급격할 때 가격 변동성을 더욱 증폭시킨다.
현재로서는 손실이 익스플로잇의 영향을 받은 yETH 및 Balancer 풀로 제한된 것으로 보이며, 프로토콜의 총 예치 자산(TVL)은 6억 달러 이상을 유지하고 있어 핵심 시스템이 손상되지는 않은 것으로 추정된다. 조사 작업은 계속 진행 중이다.
Read Next: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections