Exploit bei YearnFinanceV1: 300.000 US-Dollar aus altem TUSD-Tresor erbeutet

Ein Angreifer hat einen Schwachpunkt in einem veralteten System ausgenutzt und dabei eine sechsstellige Summe abgezogen. Die Beute: 300.000 US-Dollar aus einem nicht mehr aktiven TUSD-Vault von Yearn Finance.

Wie die Lücke entstand

Der Exploit zielte nicht auf die aktuelle, gepatchte Version der Protokolls ab, sondern auf eine historische TUSD-Strategie. Der Angreifer manipulierte die Interaktion zwischen dem veralteten Vault und einem Liquiditätspool, um sich die Mittel anzueignen – ein klassischer Fall von „vergessener“ Infrastruktur, die im Hintergrund weiter Risiken birgt.

Die Reaktion und die Folgen

Das Yearn-Team bestätigte den Vorfall und betonte, dass nur ein einzelner, alter Vertrag betroffen sei. Die aktuellen Vaults und Benutzerfunds seien sicher. Dennoch wirft der Vorfall Fragen auf: Wer ist verantwortlich für die Wartung und das endgültige Abschalten von Protokoll-Versionen, die ihren Zweck erfüllt haben? In der traditionellen Finanzwelt würde man so etwas schlichtweg als „betrieblichen Verlust“ verbuchen und weitermachen.

Ein teures Lehrgeld für DeFi

Der 300.000-Dollar-Exploit ist eine erneute Erinnerung an die ständige Pflicht zur Überwachung und Verwaltung des gesamten Technologie-Lebenszyklus im DeFi-Bereich. Innovation ist schnell – die Säuberung der Altlasten oft langsam und kostspielig.

Eine Fehlkonfiguration des Tresors bei Yearn Finance löste Preismanipulationen aus. 

Laut einer Analyse des pseudonymen Kryptoforschers und Absolventen der Universität für Wissenschaft und Technologie Chinas, Weilin Li, konfigurierte der Tresor eine seiner Strategien als Fulcrum sUSD-Tresor und berechnete seinen Aktienkurs ausschließlich anhand des eingezahlten sUSD-Guthabens.

Dies öffnete die Tür für sogenannte „Spendenangriffe“, bei denen Angreifer Vermögenswerte direkt in einen Tresor transferieren, um die Bilanzkennzahlen zu verfälschen. Nachdem die Täter Fulcrum sUSD-Token in den Yearn TUSD-Tresor eingezahlt hatten, konnten sie den ausgewiesenen Aktienkurs des Tresors künstlich in die Höhe treiben.

Das Problem wurde durch eine Rebalancing-Funktion verschärft, die alle zugrunde liegenden Vermögenswerte in sUSD abzog – einem Vermögenswert, der nicht in die Aktienkursberechnung des Tresors einfloss. Mit Beginn des Rebalancings brach der Aktienkurs des Tresors stark ein und löste einen Preisschock aus.

Laut dem Etherscan-Snapshot von PeckShield Alert führte der Angreifer sequenzielle Flash-Kredite durch, indem er zunächst große Mengen an TUSD und sUSD ohne Vorabsicherheiten aufnahm. Anschließend zahlte er sUSD ein, um Fulcrum sUSD-Token zu prägen, bevor er TUSD in den Yearn TUSD-Tresor einzahlte. 

Zu diesem Zeitpunkt bestanden alle Vermögenswerte des TUSD-Vaults aus Fulcrum sUSD-Token. Der Angreifer hob Guthaben aus dem Yearn TUSD-Vault AB und aktivierte die Rebalancing-Funktion, wodurch Fulcrum gezwungen war, alle Token in sUSD umzutauschen. Da sUSD bei der Aktienkursberechnung nicht berücksichtigt wurde, brach die Buchhaltung des Vaults zusammen, was den Aktienkurs effektiv gegen null drückte.

Der Angreifer transferierte anschließend eine kleine Menge TUSD zurück in den Tresor, wodurch der Aktienkurs extrem fiel, und prägte eine übermäßige Anzahl von Yearn TUSD-Token zu minimalen Kosten. Schließlich realisierte er Gewinne, indem er die günstig erworbenen Yearn TUSD-Token auf Curve-Pools verkaufte und so Wert von Liquiditätsanbieterntrac, bevor er die Flash-Kredite zurückzahlte.

Yearn Finance fasst die Schwachstellen des Jahres 2023 zusammen, Forscher berichten

Forscher Li stellte fest, dass die Sicherheitslücke einem Angriff aus dem Jahr 2023 ähnelte, der zu Verlusten von über 10 Millionen US-Dollar führte. Der unveränderliche yUSDT-trac, der bei diesem früherendent angegriffen wurde, war vor mehr als drei Jahren, in der Anfangsphase von iearn unter der Leitung des verstorbenen Andre Cronje, implementiert worden.

Zur Ergänzung: Es handelt sich um genau denselben Angriffsvektor wie beim letzten Mal: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

– Weilin (William) Li (@hklst4r) 16. Dezember 2025

Pessimistische Sicherheitsanalysten hatten bereits vor der Ausnutzung der Sicherheitslücke in den sozialen Medien davor gewarnt, aber da unveränderliche Smarttracnach der Bereitstellung weder gepatcht noch pausiert werden können, war dies unvermeidlich.

 „iearn finance, Smoothswap, seid vorsichtig. Diese Adresse 0x5bac20…ed8e9cdfe0 hat 10 ETH von Tornado erhalten und schließttracmit Flash-Krediten unter Verwendung eurer Adressen ab“, schrieb Nikiti Kirillov von PS.

Ein Yearn- Teammitglied namens storming0x bestätigte den Angriff und versicherte den Nutzern, dass die bestehenden trac deckten jedoch DeFi 1.156 Tage benötigte, um eine Sicherheitslücke im Wert von mehreren Millionen Dollar zu entdecken.

Der Yearn yUSDT-Token-tracgenerierte Renditen aus einem Portfolio renditebringender Positionen, darunter USDT-Einlagen bei Aave, Compound, DYDX und BzX' Fulcrum. Seit dem Start enthielt yUSDT jedoch einen Kopierfehler, der auf die Fulcrum-USDC-Adresse anstatt auf den Fulcrum-USDT-tracverwies. 

Mit nur 10.000 USDT konnten Hacker etwa 1,2 Billiarden yUSDT prägen und so den Wert des Systems mindern, bevor cashauszahlen ließen.

Der Yearn-Vorfall dent sich weniger als eine Woche, nachdem Cryptopolitan über einen Abfluss von 2,7 Millionen US-Dollar aus einem alten Vertrag trac Ribbon Finance, der umbenannten Version von Aevo, berichtet hatte. Bei diesem Angriff wurden wiederholte Interaktionen mit einem Proxy-Admin-Vertrag trac der Adresse 0x9D7b…8ae6B76 durchgeführt. Der Angreifer nutzte Funktionen wie transferOwnership und setImplementation, um Preisfeed-Proxys durch Delegatenaufrufe zu manipulieren.

Sichern Sie sich Ihren kostenlosen Platz in einer exklusiven Krypto-Trading-Community – begrenzt auf 1.000 Mitglieder.