Yearn Finance, ten doświadczony bestia dżungli DeFi, właśnie znowu dostał po głowie.
Ofiara? yETH, sprytny produkt Yearn, który opakowuje różne stakowane Ethereum w jedną zgrabną paczkę.
Wyobraź sobie kosmiczny kosz owoców nagle splądrowany przez tajemniczego bandytę kryptowalutowego.
1 000 ETH przemycone do Tornado Cash
Rabunek? Około 9 milionów dolarów zniknęło z puli yETH stableswap oraz jej pomocnika, mniejszej puli yETH-WETH na Curve.
Haker działał jak profesjonalista, wykorzystując tajemnicze połączenie tzw. „niskopoziomowego błędu numerycznego” oraz „wysokopoziomowego problemu zarządzania inwariantami” (tak, to prawdziwy żargon ekspertów od krypto oznaczający „spapraliśmy sprawę”).
W niedzielę, która powinna być spokojna, ktoś wybił nieskończoną liczbę tokenów yETH, zamienił je na prawdziwe ETH i tokeny stakingowe, po czym uciekł z nagrodą pieniężną i około 1 000 ETH przemyconych do Tornado Cash, czyli odpowiednika dymnej bomby w DeFi.
O 21:11 UTC 30 listopada doszło do incydentu z udziałem puli yETH stableswap, w wyniku którego wybito dużą ilość yETH. Dotknięty kontrakt to niestandardowa wersja popularnego kodu stableswap, niezwiązana z innymi produktami Yearn. Yearn V2/V3 vaults nie są zagrożone.
— yearn (@yearnfi) 1 grudnia 2025
Smart kontrakty, które się samozniszczają
Odpowiedź Yearn była szybka i nieco heroiczna. Współpracując z Plume i Dinero, odzyskali 857,49 pxETH, czyli około 2,4 miliona dolarów, ratując część łupu z otchłani.
Proces był delikatny, opisany w wieczornym komunikacie Yearn jako „wysokiej złożoności”, dorównujący śmiałością niedawnemu atakowi na Balancer.
Jak złoczyńca dokonał tego wyczynu? Sztuczka polegała na sprytnej odmianie smart kontraktów, które po wykonaniu brudnej roboty same się niszczą, usuwając wszelki ślad swojego bytecode, ale zostawiając na blockchainie okruszki dla bystrych analityków.
Te kontrakty wybijały fałszywe tokeny yETH, opróżniały pule, po czym znikały jak statki widmo w cyfrową noc.
Nawet doświadczone protokoły z miliardami nie są niezniszczalne
Oficjalne stanowisko Yearn? Problem jest odizolowany, ucierpiał tylko niestandardowy kod yETH.
W chwili pisania Yearn Vaults nadal przechowują solidne 570 milionów dolarów, nietknięte przez tę konkretną eskapadę. Ale trzeba przyznać, że to nie pierwszy raz dla Yearn.
Od 2021 roku zmagają się z exploitami, w tym stratą 11 milionów dolarów po ataku na vault yDAI oraz atakiem na starzejący się kontrakt yUSDT w 2023 roku.
Jak zahartowany kowboj, Yearn ciągle jest na celowniku, ale nie zamierza zejść ze sceny.
Dla entuzjastów DeFi ten epizod to głośny dzwonek alarmowy – nawet doświadczone protokoły z miliardami nie są niezniszczalne.
Exploit yETH łączy w sobie osobliwości smart kontraktów i przebiegłych hakerów, ilustrując, jak niebezpiecznym balansowaniem na linie jest bezpieczeństwo zdecentralizowanych finansów.
Cryptocurrency i ekspert Web3, założyciel Kriptoworld
LinkedIn | X (Twitter) | Więcej artykułów
Dzięki wieloletniemu doświadczeniu w relacjonowaniu branży blockchain, András dostarcza wnikliwe raporty na temat DeFi, tokenizacji, altcoinów i regulacji kryptowalut kształtujących cyfrową gospodarkę.
