Yearn Finance bevestigde op 30 november een actieve exploit op zijn yETH-product, nadat een aanvaller feitelijk een onbeperkte hoeveelheid tokens had gemint en liquiditeit uit Balancer-pools had onttrokken. Het incident resulteerde in ongeveer $2,8 miljoen aan gestolen activa. Ongeveer 1.000 ETH werd kort na de aanval witgewassen via Tornado Cash, terwijl de prijs van de YFI-token onverwacht steeg van rond de $4.080 naar boven de $4.160 binnen een uur, ondanks het negatieve nieuws.
Wat er gebeurde: Infinite-Mint-aanval
De exploit vond plaats rond 21:11 uur UTC op 30 november, toen een kwaadwillende wallet een infinite-mint-aanval uitvoerde die volgens blockchaingegevens in één transactie ongeveer 235 biljoen yETH creëerde.
Het alarmsysteem van Nansen bevestigde de aanval.
De kwetsbaarheid zat in het yETH-tokencontract zelf, niet in de Vault-infrastructuur van Yearn, en de aanvaller gebruikte de nieuw geminte tokens om echte activa — voornamelijk ETH en Liquid Staking Tokens — uit Balancer-liquiditeitspools te halen.
Vroege schattingen suggereren dat ongeveer $2,8 miljoen aan activa is verwijderd. Verscheidene helpercontracten die in de exploit werden gebruikt, werden minuten vóór het incident gedeployed en vernietigden zichzelf daarna om het spoor te verhullen, terwijl ongeveer 1.000 ETH kort na de aanval via Tornado Cash werd witgewassen.
Yearn verklaarde dat V2- en V3-Vaults niet zijn getroffen en dat de kwetsbaarheid lijkt te zijn beperkt tot de verouderde yETH-implementatie.
Ook lezen: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Waarom het belangrijk is: Markteffect
De marktreactie nam een onverwachte wending. Kort nadat de exploit werd gesignaleerd op sociale media en door blockchain-analisten, steeg de prijs van YFI van rond de $4.080 naar boven de $4.160 binnen een uur, ondanks negatieve berichtgeving rond het bredere Yearn-ecosysteem.
De prijspiek lijkt verband te houden met een verkeerde interpretatie door de markt in de eerste minuten van het incident, toen de eerste meldingen van een "Yearn-exploit" hoog-gehevelde shortposities op YFI uitlokten, gezien de dunne liquiditeit van de token en de historisch agressieve neerwaartse bewegingen tijdens hacks.
Toen eenmaal duidelijk werd dat de aanval geïsoleerd was tot yETH en niet de Vaults van Yearn trof, begonnen short-sellers hun posities te sluiten. Dit veroorzaakte een korte short squeeze en een door volatiliteit gedreven prijspiek. De circulerende voorraad van YFI bedraagt slechts 33.984 tokens, wat het een van de meest illiquide grote DeFi-governance-assets maakt, waardoor prijsschommelingen worden versterkt, vooral in periodes van onzekerheid of snelle liquidaties.
Voor nu lijken de verliezen beperkt tot de yETH- en Balancer-pools die door de exploit zijn geraakt, terwijl de Total Value Locked van het protocol boven de $600 miljoen blijft, wat suggereert dat de kernsystemen niet zijn gecompromitteerd. Onderzoeken zijn nog aan de gang.
Lees hierna: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections