Yearn Finance подтвердила активный эксплойт, нацеленный на её продукт yETH 30 ноября, после того как атакующий заминтил фактически неограниченное количество токенов и вывел ликвидность из пулов Balancer. Инцидент привёл к краже активов примерно на $2,8 млн. Порядка 1 000 ETH были отмыты через Tornado Cash вскоре после атаки, в то время как цена токена YFI неожиданно выросла с примерно $4 080 до более чем $4 160 менее чем за час, несмотря на негативные новости.
Что произошло: атака бесконечной эмиссии
Эксплойт произошёл около 21:11 по UTC 30 ноября, когда злоумышленный кошелёк осуществил атаку бесконечной эмиссии, создав примерно 235 трлн yETH в одной транзакции, согласно данным блокчейна.
Система оповещений Nansen подтвердила атаку.
Уязвимость находилась в самом контракте токена yETH, а не в инфраструктуре хранилищ (Vault) Yearn, и атакующий использовал вновь выпущенные токены, чтобы вывести реальные активы — в основном ETH и токены ликвидного стейкинга — из пулов ликвидности Balancer.
Первоначальные оценки показывают, что было выведено активов примерно на $2,8 млн. Несколько вспомогательных контрактов, использованных в эксплойте, были развёрнуты за несколько минут до инцидента и затем самоуничтожены, чтобы скрыть следы, а около 1 000 ETH были отмыты через Tornado Cash вскоре после атаки.
Yearn заявила, что хранилища V2 и V3 не пострадали, а уязвимость, по‑видимому, ограничена устаревшей реализацией yETH.
Также читайте: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Почему это важно: влияние на рынок
Реакция рынка оказалась неожиданной. Вскоре после того, как эксплойт был отмечен в соцсетях и аналитиками блокчейна, цена YFI поднялась с примерно $4 080 до более чем $4 160 менее чем за час, несмотря на негативные заголовки, касающиеся более широкой экосистемы Yearn.
Похоже, рост цены был связан с неверной интерпретацией событий в первые минуты инцидента, когда первоначальные заявления о «взломе Yearn» спровоцировали открытие высокоопасных шорт‑позиций по YFI, учитывая низкую ликвидность токена и его исторически агрессивные падения цены во время хакерских атак.
Когда стало ясно, что атака ограничена yETH и не затрагивает хранилища Yearn, шортисты начали закрывать позиции. Это спровоцировало краткосрочный шорт‑сквиз и скачок цены на фоне волатильности. Обращающийся в свободном обороте объём YFI составляет всего 33 984 токена, что делает его одним из самых неликвидных крупных governance‑активов DeFi и усиливает ценовые колебания, особенно в периоды неопределённости или быстрого потока ликвидаций.
На данный момент убытки, по‑видимому, ограничены yETH и пулами Balancer, затронутыми эксплойтом, в то время как совокупная заблокированная стоимость протокола (TVL) остаётся выше $600 млн, что говорит о том, что базовые системы не были скомпрометированы. Расследование продолжается.
Read Next: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections