Крупный эксплойт yETH в Yearn Finance: вывод средств на $2,8 млн через уязвимость бесконечной эмиссии
- Что произошло в Yearn Finance?
- Как развивались события?
- Реакция рынка и цена YFI
- Технические детали атаки
- Последствия и дальнейшие шаги
- Часто задаваемые вопросы
Протокол Yearn Finance подтвердил серьезную атаку на свой продукт yETH, в результате которой злоумышленник вывел ликвидность из пулов Balancer. Инцидент, произошедший 30 ноября 2025 года, стал возможен из-за уязвимости в контракте токена yETH, позволяющей неограниченную эмиссию. Предварительные оценки ущерба составляют около $2,8 млн. Интересно, что цена токена YFI продемонстрировала неожиданный рост после новостей об инциденте, что аналитики связывают с закрытием коротких позиций.
Что произошло в Yearn Finance?
30 ноября 2025 года примерно в 21:11 UTC злоумышленник воспользовался уязвимостью в контракте токена yETH, создав около 235 трлн токенов в одной транзакции. Эти "фейковые" токены были использованы для вывода реальных активов - преимущественно ETH и токенов liquid staking (LST) - из пулов ликвидности Balancer.
Источник: CoinGecko
Как развивались события?
Атака была быстро обнаружена аналитиками Nansen, которые идентифицировали ее как эксплуатацию уязвимости неограниченной эмиссии. Примерно 1000 ETH были направлены через Tornado Cash вскоре после инцидента, что, вероятно, было попыткой скрыть происхождение средств.
Несколько вспомогательных смарт-контрактов, задействованных в эксплойте, были развернуты за минуты до атаки и самоуничтожены после нее, что затрудняет отслеживание операций.
Реакция рынка и цена YFI
Несмотря на негативные новости, токен YFI продемонстрировал резкий рост с $4080 до более чем $4160 в течение часа после инцидента. Аналитики BTCC связывают это с эффектом short squeeze - массовым закрытием коротких позиций.
"Рынок первоначально неправильно интерпретировал масштабы инцидента," - отмечает аналитик BTCC. - "Когда стало ясно, что атака была изолирована в продукте yETH и не затронула основные хранилища Yearn, началось активное закрытие коротких позиций."
Технические детали атаки
Уязвимость, по всей видимости, ограничивается устаревшей реализацией продукта yETH. Представители Yearn заявили, что хранилища версий V2 и V3 не были затронуты. Общая стоимость заблокированных активов (TVL) протокола, согласно данным CoinGecko, остается на уровне выше $600 млн.
Особенности токена YFI, чье циркулирующее предложение составляет всего 33 984 токена, значительно усиливают ценовые колебания, особенно в периоды неопределенности.
Последствия и дальнейшие шаги
На данный момент убытки локализованы в пулах yETH и Balancer, затронутых атакой. Расследование продолжается, и пока неясно, существуют ли возможности для возврата похищенных активов.
Ожидается, что команда Yearn Finance представит официальный отчет с подробным анализом первопричины инцидента, принятых мер по устранению уязвимости и потенциальных решений на уровне управления протоколом.
Этот инцидент вновь поднимает вопросы о безопасности устаревших продуктов в DeFi и важности своевременного обновления контрактов. В то же время реакция рынка демонстрирует, насколько сложной может быть интерпретация подобных событий в реальном времени.
Часто задаваемые вопросы
Каков масштаб ущерба от атаки на Yearn Finance?
Предварительные оценки указывают на сумму около $2,8 млн, выведенную из пулов ликвидности Balancer.
Были ли затронуты основные хранилища Yearn Finance?
Нет, по заявлениям представителей Yearn, хранилища версий V2 и V3 не были затронуты атакой.
Почему цена YFI выросла после новостей об атаке?
Рост, вероятно, связан с эффектом short squeeze - массовым закрытием коротких позиций после уточнения масштабов инцидента.
Какие активы были похищены?
Преимущественно ETH и токены liquid staking (LST), находившиеся в пулах Balancer.
Использовал ли злоумышленник Tornado Cash?
Да, примерно 1000 ETH были направлены через Tornado Cash вскоре после атаки.
