Yearn Finance potwierdził 30 listopada aktywny exploit wymierzony w jego produkt yETH, po tym jak atakujący wyemitował praktycznie nielimitowaną liczbę tokenów i wyciągnął płynność z pul Balancer. Incydent doprowadził do kradzieży aktywów o łącznej wartości około 2,8 mln dolarów. Około 1 000 ETH zostało wypłukanych przez Tornado Cash wkrótce po ataku, podczas gdy cena tokena YFI niespodziewanie wzrosła z okolic 4 080 dol. do ponad 4 160 dol. w ciągu godziny, mimo negatywnych informacji.
Co się stało: atak typu infinite-mint
Do exploitu doszło około godziny 21:11 UTC 30 listopada, gdy złośliwy portfel wykonał atak typu infinite-mint, w ramach którego w jednej transakcji utworzono około 235 bilionów yETH, jak wynika z danych z łańcucha bloków.
System alertów Nansen potwierdził atak.
Luka bezpieczeństwa znajdowała się w samym kontrakcie tokena yETH, a nie w infrastrukturze Vault Yearn. Atakujący wykorzystał nowo wybite tokeny do wyciągnięcia realnych aktywów — głównie ETH i tokenów liquid staking — z pul płynności Balancer.
Wstępne szacunki wskazują, że usunięto aktywa o wartości około 2,8 mln dolarów. Kilka kontraktów pomocniczych użytych w exploicie wdrożono na kilka minut przed incydentem, a następnie zniszczono (self-destruct), aby zaciemnić ślad, podczas gdy około 1 000 ETH wypłukano przez Tornado Cash krótko po ataku.
Yearn poinformował, że Vaulty V2 i V3 nie zostały dotknięte, a luka wydaje się ograniczona do przestarzałej implementacji yETH.
Also Read: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Dlaczego to ważne: wpływ na rynek
Reakcja rynku okazała się nieoczekiwana. Wkrótce po tym, jak exploit został nagłośniony w mediach społecznościowych i przez analityków łańcucha bloków, cena YFI wzrosła z okolic 4 080 dol. do ponad 4 160 dol. w ciągu godziny, mimo negatywnych nagłówków dotyczących szerszego ekosystemu Yearn.
Wydaje się, że skok ceny był powiązany z błędną interpretacją sytuacji w pierwszych minutach incydentu, gdy wstępne doniesienia o „exploicie Yearn” skłoniły inwestorów do otwierania wysoko lewarowanych krótkich pozycji na YFI, biorąc pod uwagę niską płynność tokena oraz jego historycznie agresywne spadki w czasie ataków hakerskich.
Kiedy stało się jasne, że atak był ograniczony do yETH, a nie Vaultów Yearn, krótkoterminowi sprzedający zaczęli zamykać swoje pozycje. Wywołało to krótkotrwały short squeeze i skok ceny napędzany zmiennością. Podaż w obiegu YFI to zaledwie 33 984 tokeny, co czyni go jednym z najbardziej niepłynnych głównych tokenów zarządzania w DeFi i dodatkowo wzmacnia ruchy cen, szczególnie w okresach niepewności lub gwałtownej likwidacji pozycji.
Na razie straty wydają się ograniczone do yETH oraz pul Balancer objętych exploitem, podczas gdy całkowita wartość zablokowana (TVL) w protokole pozostaje powyżej 600 mln dolarów, co sugeruje, że kluczowe systemy nie zostały naruszone. Dochodzenie wciąż trwa.
Read Next: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections