Громкий взлом Yearn Finance: Эксплойт yETH и массовый вывод средств
Децентрализованные финансы в шоке — протокол Yearn Finance стал жертвой масштабной атаки.
Уязвимость в yETH
Хакеры обнаружили критическую брешь в смарт-контракте yETH, позволившую обойти системы безопасности. Эксплойт сработал мгновенно — средства начали исчезать с кошельков инвесторов.
Финансовые последствия
Общая сумма потерь продолжает расти. Трейдеры в панике выводят активы — ликвидность протокола стремительно сокращается. Типичная история DeFi — инновации опережают безопасность, а расплачиваются обычные пользователи.
Реакция рынка
Нативная монета YFI просела на двузначные проценты. Рынок отреагировал предсказуемо — паника распространилась на другие DeFi-протоколы. Регуляторы уже потирают руки в ожидании нового повода для ужесточения контроля.
Очередной взлом доказывает: в гонке за высокой доходностью безопасность часто остается на втором плане. Когда хакеры умнее разработчиков, страдают все — кроме самих хакеров.
Атака Infinite-Mint вывела ликвидность из пулов Balancer
Согласно данным блокчейна, эксплойт был реализован приблизительно в 21:11 UTC 30 ноября. Вредоносный кошелек выполнил атаку с неограниченной эмиссией, создав в рамках одной транзакции около 235 трлн токенов yETH.
some other balancer related stuff looking like an exploit considering heavy interactions with tornado
yearn, rocket pool, origin, dinero and other LST going around pic.twitter.com/wUuexeQJyg
Система оповещения платформы ончейн-аналитики Nansen позднее подтвердила факт атаки, идентифицировав событие как уязвимость неограниченной эмиссии в контракте токена yETH, а не в инфраструктуре хранилищ (Vaults) самого протокола Yearn.
Атакующий использовал новосозданные токены yETH для извлечения реальных активов — преимущественно ETH и токенов ликвидного стейкинга (LST) — из пулов ликвидности Balancer. Предварительные оценки указывают на вывод активов на сумму порядка $2,8 млн.
Приблизительно 1000 ETH были направлены через Tornado Cash вскоре после атаки для сокрытия происхождения средств. Несколько вспомогательных смарт-контрактов, задействованных в эксплойте, были развернуты за минуты до инцидента и впоследствии самоуничтожены с целью затруднить отслеживание операций.
some other balancer related stuff looking like an exploit considering heavy interactions with tornado
yearn, rocket pool, origin, dinero and other LST going around pic.twitter.com/wUuexeQJyg
Представители Yearn заявили, что хранилища версий V2 и V3 не были затронуты. Уязвимость, по всей видимости, ограничивается устаревшей реализацией продукта yETH.
Общая стоимость заблокированных активов (TVL) протокола, согласно данным CoinGecko, остается на уровне выше $600 млн, что косвенно свидетельствует о том, что ключевые системы не были скомпрометированы.
Ценовая динамика YFI демонстрирует рост на фоне ослабления первоначальной паники на рынке
Тем не менее, рыночная реакция привела к неожиданной динамике. Вскоре после того, как информация об эксплойте была распространена в социальных сетях и блокчейн-аналитиками, цена токена YFI продемонстрировала резкий рост, поднявшись с отметки около $4080 до более чем $4160 в течение часа.
Это движение произошло вопреки негативному информационному фону вокруг экосистемы Yearn.
Ценовой график токена Yearn Finance (YFI). Источник: CoinGecko
Подобная ценовая реакция, по-видимому, связана с некорректной интерпретацией рынком событий в первые минуты после инцидента. Первоначальные сообщения об «эксплойте Yearn» спровоцировали открытие коротких позиций по YFI с высоким кредитным плечом, учитывая низкую ликвидность токена и его историческую склонность к агрессивным нисходящим движениям во время хакерских атак.
Когда стало очевидно, что атака была изолирована в рамках продукта yETH и не затронула основные хранилища Yearn, продавцы начали закрывать свои короткие позиции. Этот процесс спровоцировал кратковременное короткое сжатие, известное как short squeeze, и вызванный волатильностью ценовой скачок.
Циркулирующее предложение YFI составляет всего 33 984 токена, что делает его одним из наименее ликвидных ключевых токенов управления в секторе DeFi. Такая структура предложения значительно усиливает ценовые колебания, особенно в периоды неопределенности или быстрого изменения потока ордеров на ликвидацию. Данные по деривативам также показали повышенную волатильность ставок финансирования сразу после появления сообщений об эксплойте.
На данный момент убытки, судя по всему, локализованы в пулах yETH и Balancer, затронутых атакой. Расследование продолжается, и пока неясно, существуют ли какие-либо возможности для возврата похищенных активов.
Рынок, вероятно, будет ожидать официального отчета от Yearn с подробным анализом первопричины инцидента, принятых мер по устранению уязвимости и потенциальных решений на уровне управления протоколом.
