Yearn Finance: Eine Schwachstelle im yETH-Vertrag ermöglicht es einem Hacker, Millionen zu entwenden

Sie kommen immer wieder zurück, einfallsreicher, technischer. Hacker haben erneut einen Schlag in der Krypto-Sphäre gelandet. Dieses Mal ist Yearn Finance das Opfer. Ergebnis: 9 Millionen Dollar sind verschwunden. Hinter dem Exploit steckt ein äußerst komplexer Bug im yETH-Vertrag. An der Oberfläche ein einfacher Swap, in der Tiefe mathematisches Chaos. Und das Schlimmste: Es handelt sich nicht um einen Einzelfall.

Wenn Arithmetik explodiert: ein Bug im Millionenwert

Am 30. November konnte ein Nutzer dank einer subtilen Schwachstelle in der swap()-Funktion des Smart Contracts 2,35 × 10³⁸ yETH erzeugen. Dieser Vertrag sollte eigentlich eine Balance-Regel zwischen den Token aufrechterhalten. Doch eine entscheidende Division wurde in der Formel ausgelassen. Das Ergebnis: Die Variable vb_prod geriet außer Kontrolle. Wie ein Tachometer, der im Overdrive feststeckt, täuschte sie das Protokoll über seinen eigenen Zustand.

Der Exploit wurde von PeckShield bestätigt, die in einem Tweet warnten, dass fast 9 Millionen Dollar verloren gegangen seien. Ein Teil der Gelder – etwa 3 Millionen in ETH – wurde über Tornado Cash, einen bekannten Krypto-Mixer zur Verschleierung von Spuren, transferiert. Der Rest liegt noch immer auf der Adresse des Hackers.

Die Schwere des Bugs ist kein einfacher Flüchtigkeitsfehler. Wie Ilia.eth auf X erklärte:

Der heutige Angriff auf den $yETH-Pool war kein Flash-Loan-Preisangriff, sondern tatsächlich ein struktureller Zusammenbruch der internen Buchhaltung des AMM. Hier ist eine technische Analyse, die zeigt, wie eine einfach ausgelassene Division zur vollständigen Entleerung des Protokolls führte.

Dieser Fehler erinnert schmerzlich an den Vorfall bei Balancer, bei dem eine schlechte Rundungsverwaltung ähnliches Chaos verursachte. Gleiche Ursache, gleiche Wirkung: Unkontrollierte Geldschöpfung, gefolgt von einer legitimen, aber zerstörerischen Abhebung.

Helper-Verträge, um die Architektur von Yearn Finance zu zerstören

Nicht nur der Bug beeindruckt, sondern auch die Angriffsarchitektur. In einer einzigen Transaktion orchestrierte der Hacker alles: Deployment von „Helper-Verträgen“, Token-Minting, Umwandlung in ETH, Geldtransfer und Selbstzerstörung der Verträge zur Spurenbeseitigung.

Laut Blockscout führte jeder Helper-Vertrag einen gezielten Aufruf der verwundbaren Funktion aus, schickte dann das ETH an eine Master-Wallet und verschwand anschließend. Eine Strategie wie aus einem Heist-Film, bei der der Räuber seine digitalen Spuren im selben Moment löscht, in dem er handelt.

Die von mehreren Analysten identifizierte Schlüsseladresse ist: 0xa80d…c822, die derzeit noch etwa 6 Millionen in stETH, rETH und anderen Ethereum-Derivaten hält.

Auf X bietet William Li weitere Einblicke:

Der Hacker hat tatsächlich nicht alle von ihm erzeugten yETH abgezogen, sondern nur einen Teil davon im yETH-ETH-Pool für 1.000 ETH (etwa 3 Millionen Dollar) verkauft – was weit weniger ist als der tatsächliche Gewinn, den er erzielt hat (P2).

Mehr als ein Diebstahl ist es also eine kontrollierte Zerstörung des yETH-Protokolls. Und hinter dem Angriff steckt tiefes mathematisches Wissen, gepaart mit kühlem und präzisem Programmier-Talent.

Krypto und Vertrauen: Wenn Code zur Achillesferse wird

Yearn Finance ist weit entfernt von einem Amateurprojekt. Dennoch wurde die Schwachstelle weder von Nutzern noch durch Audits entdeckt. Genau hier wird es für den gesamten Kryptomarkt bedenklich. Denn dieser Fehler – eine Multiplikation statt einer Division – könnte auch anderswo existieren, versteckt in anderen Protokollen.

Die yETH-Vertragsstruktur ist ein Hybrid zwischen Curve und Balancer. Anstatt jedoch jede Transaktion neu zu berechnen, speichert sie einen Zwischenzustand (vb_prod), der nach jedem Swap aktualisiert werden soll. Eine gefährliche Praxis, so Ilia.eth:

Das Speichern komplexer Produktresultate (vb_prod), um sie inkrementell zu aktualisieren, ist extrem riskant. Fehler summieren sich, und der kleinste logische Bug kann unbegrenzt aktiv bleiben. Es wäre besser, Invarianten aus den aktuellen Salden neu zu berechnen.

Der Hack belebt die Debatte neu: Soll Gas-Ersparnis oder Strenge priorisiert werden? Eines ist sicher: Die Konsequenzen eines schlechten Kompromisses belaufen sich nun auf Millionen. Bei Yearn ist jetzt Remobilisierung angesagt: SEAL911, ChainSecurity und eine Post-Mortem-Untersuchung stehen bereits an vorderster Front.

5 Schlüsselfakten zum Yearn Finance Exploit 

• 30. November 2025: Datum des Hacks;
• 9 Millionen Dollar: geschätzter Gesamtschaden;
• 2,35 × 10³⁸ yETH: künstlich erzeugte Token;
• Eine einzige Transaktion: Der gesamte Angriff fand in einem Block statt;
• Helper-Verträge: bereitgestellt, genutzt und dann selbst zerstört.

Rechenfehler in Krypto verzeihen nicht. Und das aus gutem Grund: Ein weiteres Audit hätte das Desaster nicht verhindert. Auch Balancer wurde trotz 11 Sicherheits-Audits durch einen nahezu identischen Bug geleert. Ein einfacher Multiplikationsfaktor kann zur Massenvernichtungswaffe werden, wenn Finanzen programmierbar werden. Protokolle haben ein kurzes Gedächtnis, aber Blockchains vergessen nie.