Yearn Finance, quella bestia esperta della giungla DeFi, è stata colpita di nuovo.
La vittima? yETH, un prodotto raffinato di Yearn che racchiude diversi Ethereum in staking in un unico pacchetto ordinato.
Immagina un cesto di frutta cosmico improvvisamente saccheggiato da un oscuro bandito delle criptovalute.
1.000 ETH trasferiti su Tornado Cash
Il colpo? Circa 9 milioni di dollari sono scomparsi dal pool stableswap yETH e dal suo compagno, il più piccolo pool yETH-WETH su Curve.
L’hacker ha agito da professionista, sfruttando una combinazione criptica di un cosiddetto “bug numerico di basso livello” e un “problema di gestione degli invarianti di alto livello” (sì, è vero gergo da esperti crypto per dire “abbiamo fatto un casino”).
In una domenica che probabilmente doveva essere tranquilla, qualcuno ha coniato infiniti token yETH, li ha scambiati con veri ETH e token di staking, poi è fuggito con il bottino e circa 1.000 ETH trasferiti su Tornado Cash, la versione DeFi di una bomba fumogena.
Alle 21:11 UTC del 30 novembre, si è verificato un incidente che ha coinvolto il pool stableswap yETH e ha portato alla creazione di una grande quantità di yETH. Il contratto interessato è una versione personalizzata del popolare codice stableswap, non collegato ad altri prodotti Yearn. I vault Yearn V2/V3 non sono a rischio.
— yearn (@yearnfi) 1 dicembre 2025
Smart contract che si autodistruggono
La risposta di Yearn è stata rapida e quasi eroica. Collaborando con Plume e Dinero, hanno recuperato 857,49 pxETH, circa 2,4 milioni di dollari, salvando una parte del bottino dall’abisso.
Il processo è stato delicato, descritto nel comunicato serale di Yearn come di “alta complessità”, rivaleggiando con la famigerata audacia dell’ultimo hack di Balancer.
Come ha fatto il malintenzionato a realizzare questo colpo? Il trucco ha coinvolto una tipologia ingegnosa di smart contract che si autodistruggono dopo aver compiuto il loro lavoro sporco, cancellando ogni traccia del loro bytecode ma lasciando indizi sulla blockchain per gli analisti più attenti.
Questi contratti hanno coniato falsi token yETH, svuotato i pool, poi sono scomparsi come navi fantasma nella notte digitale.
Anche i protocolli veterani con miliardi non sono invincibili
La dichiarazione ufficiale di Yearn? Il problema è isolato, solo il codice personalizzato di yETH è stato colpito.
Al momento della scrittura, i Vault Yearn detengono ancora 570 milioni di dollari, non toccati da questa particolare vicenda. Ma è giusto dire che non è la prima volta per Yearn.
Sono stati coinvolti in exploit dal 2021, incluso un danno di 11 milioni di dollari dall’hack del vault yDAI e un attacco a un vecchio contratto yUSDT nel 2023.
Come un cowboy esperto, Yearn continua a essere preso di mira ma si rifiuta di abbandonare la scena.
Per gli appassionati di DeFi, questo episodio suona come un forte campanello d’allarme: anche i protocolli veterani con miliardi non sono invincibili.
L’exploit di yETH combina stranezze dei smart contract e hacker astuti, illustrando il precario equilibrio che è la sicurezza della finanza decentralizzata.
Cryptocurrency e Web3 expert, fondatore di Kriptoworld
LinkedIn | X (Twitter) | Altri articoli
Con anni di esperienza nel settore blockchain, András offre reportage approfonditi su DeFi, tokenizzazione, altcoin e regolamentazioni crypto che stanno plasmando l’economia digitale.
