Yearn Finance подвергся серьезному нарушению безопасности после того, как злоумышленнику удалось создать неограниченное количество токенов yETH, воспользовавшись уязвимостью, которая в конечном итоге унесла из протокола около 9 миллионов долларов.
Этот инцидент знаменует собой один из самых разрушительных подвигов Yearn за последние годы и сразу же вновь вызвал обеспокоенность по поводу рисков смарт-контрактов в устаревшей инфраструктуре DeFi.
Предварительный анализ, проведенный сетевыми следователями, показывает, что злоумышленник нацелился на уязвимость в одном из старых контрактов хранилища Yearn, манипулируя внутренним учетом системы для создания среды «бесконечного монетного двора».
30 ноября в 21:11 UTC произошел инцидент с пулом стабильных свопов yETH, в результате которого было выпущено большое количество yETH. Затрагиваемый контракт представляет собой специальную версию популярного кода стабильной замены, не связанную с другими продуктами Yearn. Хранилища Yearn V2/V3 не подвергаются риску.
— тосковать (@yearnfi) 1 декабря 2025 г.
Создав огромное количество синтетических YETH практически бесплатно, эксплуататор смог обменять токены на реальные активы и перекачать стоимость через несколько пулов ликвидности до того, как были обнаружены аномальные потоки.
Команда Yearn быстро приостановила работу затронутых компонентов и начала внутреннее расследование, в то время как исследователи безопасности работали над отслеживанием пути украденных средств. Хотя эксплойт был ограничен конкретным устаревшим контрактом и не повлиял на новые хранилища, это событие возобновило разговоры в сообществе DeFi о долгосрочном обслуживании старых систем смарт-контрактов, которые все еще обладают значительной ликвидностью.
Реакция рынка была немедленной: активы, связанные с Yearn, испытывали волатильность, поскольку трейдеры оценивали, представляет ли эксплойт системные риски. Разработчики подчеркнули, что средства пользователей в активных, обновленных хранилищах остаются в безопасности, но признали, что восстановление украденных активов будет зависеть от переговоров с злоумышленником или сотрудничества между биржами и инструментами принудительного исполнения внутри цепочки.
Эксплойт Yearn Finance служит напоминанием о том, что даже устоявшиеся протоколы DeFi остаются уязвимыми для изощренных атак, если старый код не проверяется постоянно, не обновляется и не выводится из эксплуатации. Поскольку расследования продолжаются, сообщество ожидает подробного анализа, в котором будут изложены технические причины, меры по исправлению и путь протокола к восстановлению доверия после взлома стоимостью 9 миллионов долларов.
