Yearn Finance, diese erfahrene Bestie des DeFi-Dschungels, wurde erneut getroffen.
Das Opfer? yETH, ein elegantes Yearn-Produkt, das verschiedene gestakte Ethereum in einem praktischen Paket bündelt.
Stellen Sie sich einen kosmischen Obstkorb vor, der plötzlich von einem zwielichtigen Krypto-Banditen geplündert wird.
1.000 ETH in Tornado Cash verschwunden
Der Raub? Rund 9 Millionen Dollar verschwanden aus dem yETH Stableswap-Pool und seinem Sidekick, dem kleineren yETH-WETH-Pool auf Curve.
Der Hacker agierte wie ein Profi und nutzte eine kryptische Kombination aus einem sogenannten „Low-Level Numerical Bug“ und einem „High-Level Invariant-Management Issue“ aus (ja, das ist echtes Krypto-Expertenjargon für „wir haben Mist gebaut“).
An einem Sonntag, der wohl ruhig hätte verlaufen sollen, prägte jemand unendlich viele yETH-Token, tauschte sie gegen echtes ETH und Staking-Token ein und verschwand dann mit dem Geldpreis und etwa 1.000 ETH, die in Tornado Cash, DeFis Version einer Rauchbombe, transferiert wurden.
Um 21:11 UTC am 30. November ereignete sich ein Vorfall mit dem yETH Stableswap-Pool, der zur Prägung einer großen Menge yETH führte. Der betroffene Vertrag ist eine angepasste Version des beliebten Stableswap-Codes und steht in keinem Zusammenhang mit anderen Yearn-Produkten. Yearn V2/V3 Vaults sind nicht gefährdet.
— yearn (@yearnfi) 1. Dezember 2025
Smart Contracts, die sich selbst zerstören
Yearns Reaktion war schnell und ein wenig heldenhaft. In Zusammenarbeit mit Plume und Dinero holten sie 857,49 pxETH zurück, etwa 2,4 Millionen Dollar, und retteten so einen Teil der Beute aus dem Abgrund.
Der Prozess war heikel und wurde in Yearns Abendbericht als „hohe Komplexität“ beschrieben, was der berüchtigten Kühnheit des jüngsten Balancer-Hacks Konkurrenz macht.
Wie hat der Bösewicht diesen Coup gelandet? Der Trick bestand in einer cleveren Art von Smart Contracts, die sich nach ihrer schmutzigen Arbeit selbst zerstören, jeglichen Bytecode löschen, aber für den aufmerksamen Analysten Blockchain-Spuren hinterlassen.
Diese Verträge prägten gefälschte yETH-Token, leerten Pools und verschwanden dann wie Geisterschiffe in der digitalen Nacht.
Sogar erfahrene Protokolle mit Milliarden sind nicht unverwundbar
Yearns offizielles Statement? Das Chaos ist isoliert, nur der benutzerdefinierte Code von yETH wurde getroffen.
Zum Zeitpunkt des Schreibens halten die Yearn Vaults immer noch coole 570 Millionen Dollar, unberührt von diesem speziellen Vorfall. Aber man kann sagen, das ist nicht Yearns erstes Rodeo.
Seit 2021 sind sie in Exploits verwickelt, darunter ein Verlust von 11 Millionen Dollar durch den yDAI Vault Hack und ein Angriff auf einen veralteten yUSDT-Vertrag im Jahr 2023.
Wie ein abgebrühter Cowboy wird Yearn immer wieder beschossen, weigert sich aber, in den Sonnenuntergang zu reiten.
Für DeFi-Enthusiasten ist diese Episode ein lauter Weckruf: Selbst erfahrene Protokolle mit Milliarden sind nicht unverwundbar.
Der yETH-Exploit vereint Eigenheiten von Smart Contracts und raffinierte Hacker und zeigt, wie prekär der Balanceakt der Sicherheit im dezentralen Finanzwesen ist.
Cryptocurrency- und Web3-Experte, Gründer von Kriptoworld
LinkedIn | X (Twitter) | Weitere Artikel
Mit jahrelanger Erfahrung in der Berichterstattung über den Blockchain-Bereich liefert András aufschlussreiche Berichte über DeFi, Tokenisierung, Altcoins und Krypto-Regulierungen, die die digitale Wirtschaft prägen.
