Минус $3000000 за одно действие. Взлом Yearn Finance увеличил потери крипторынка до $127 млн.
Эксплойт yETH в Yearn Finance обернулся потерей почти $3 млн из-за искусственно созданного «суперминта».
Yearn Finance столкнулась с серьёзной атакой на продукт yETH, в результате которой злоумышленник сумел вывести около тысячи ETH — почти 3 миллиона долларов — воспользовавшись уязвимостью в работе пула стейблсвопа. Эксплойт позволил в одном действии создать практически бесконечное количество yETH, быстро обналичить ликвидность и частично замести следы через Tornado Cash. До инцидента в пуле находилось около 11 миллионов долларов, однако основные хранилища Yearn Finance — V2 и V3 — не пострадали.
Как показывают данные блокчейна, атака была построена на серии новых смарт-контрактов, созданных исключительно для быстрого исполнения и последующего самоуничтожения. Эта схема помогла злоумышленнику раздуть предложение yETH, вывести активы и удалить критически важные следы транзакций. Представитель Yearn Finance подтвердил факт взлома, подчеркнув при этом, что ущерб ограничен лишь LST-пулом, а ключевая инфраструктура сервиса остаётся в безопасности. Команда продолжает выяснять точные обстоятельства атаки.
Первым об инциденте сообщил пользователь под ником Togbe, который заметил подозрительную активность, отслеживая крупные транзакции. По его словам, «суперминт» yETH стал главным инструментом злоумышленника для опустошения пула и принёс ему около тысячи ETH прибыли, хотя небольшая часть средств была потеряна по пути. Специалисты рассматривают произошедшее как часть растущей волны DeFi-взломов: только в ноябре отрасль потеряла более 127 миллионов долларов из-за кибератак, скамов и эксплуатаций уязвимостей, а смарт-контракты уверенно вышли на первое место среди системных рисков, обогнав фишинг и атаки на кошельки.