Yearn Finance, цей досвідчений звір DeFi-джунглів, знову отримав удар.
Жертва? yETH, стильний продукт Yearn, який об'єднує різні застейкані Ethereum в одну акуратну упаковку.
Уявіть собі космічний фруктовий кошик, який раптом обікрав тіньовий криптобандит.
1 000 ETH зникли у Tornado Cash
Пограбування? Близько 9 мільйонів доларів зникло з пулу yETH stableswap і його меншого напарника, пулу yETH-WETH на Curve.
Хакер діяв як професіонал, використавши загадкове поєднання так званої “низькорівневої числової помилки” та “проблеми з управлінням інваріантами на високому рівні” (так, це справжній крипто-жаргон для “ми облажалися”).
У неділю, яка мала би бути спокійною, хтось намінтив нескінченну кількість токенів yETH, обміняв їх на справжні ETH та стейкінгові токени, а потім зник із грошовим призом і близько 1 000 ETH, які були відправлені у Tornado Cash, DeFi-версію димової шашки.
О 21:11 UTC 30 листопада стався інцидент із пулом yETH stableswap, внаслідок якого було намінчено велику кількість yETH. Задіяний контракт — це спеціальна версія популярного коду stableswap, не пов'язана з іншими продуктами Yearn. Сховища Yearn V2/V3 не під загрозою.
— yearn (@yearnfi) 1 грудня 2025
Смарт-контракти, що самознищуються
Реакція Yearn була швидкою і навіть героїчною. Об'єднавшись із Plume та Dinero, вони повернули 857,49 pxETH, приблизно 2,4 мільйона доларів, врятувавши частину здобичі з безодні.
Процес був делікатним, у вечірньому звіті Yearn його описали як “високої складності”, що може зрівнятися зі зухвалістю нещодавнього злому Balancer.
Як злочинець провернув цей трюк? Фокус полягав у використанні розумних смарт-контрактів, які самознищуються після виконання брудної роботи, стираючи будь-які сліди свого байткоду, але залишаючи крихти на блокчейні для уважного аналітика.
Ці контракти намінтили фальшиві токени yETH, спустошили пули, а потім зникли, як привидні кораблі у цифрову ніч.
Навіть досвідчені протоколи з мільярдами не є невразливими
Офіційна позиція Yearn? Проблема ізольована, постраждав лише спеціальний код yETH.
На момент написання сховища Yearn все ще містять близько 570 мільйонів доларів, яких ця пригода не торкнулася. Але справедливо сказати, що це не перша така ситуація для Yearn.
Вони вже потрапляли під експлойти з 2021 року, включаючи втрату 11 мільйонів доларів через злом сховища yDAI та атаку на старий контракт yUSDT у 2023 році.
Як загартований ковбой, Yearn продовжує потрапляти під обстріл, але відмовляється піти у захід сонця.
Для ентузіастів DeFi цей епізод — гучний сигнал тривоги: навіть досвідчені протоколи з мільярдами не є невразливими.
Експлойт yETH поєднує особливості смарт-контрактів і хитрих хакерів, ілюструючи небезпечний баланс безпеки у світі децентралізованих фінансів.
Cryptocurrency та Web3 експерт, засновник Kriptoworld
LinkedIn | X (Twitter) | Більше статей
Маючи багаторічний досвід у сфері блокчейну, Андраш надає глибокі репортажі про DeFi, токенізацію, альткоїни та крипторегулювання, що формують цифрову економіку.
