Yearn Finance, con thú già dặn của rừng DeFi, vừa bị đánh úp thêm một lần nữa.
Nạn nhân? yETH, một sản phẩm tinh vi của Yearn gói gọn nhiều Ethereum staking thành một gói nhỏ gọn.
Hãy tưởng tượng một giỏ trái cây vũ trụ bất ngờ bị một tên cướp crypto bí ẩn đột nhập.
1.000 ETH bị chuyển vào Tornado Cash
Vụ trộm? Khoảng 9 triệu đô la đã biến mất khỏi pool stableswap yETH và pool nhỏ hơn yETH-WETH trên Curve.
Hacker đã hành động như một chuyên gia, khai thác một sự kết hợp bí ẩn giữa cái gọi là “lỗi số học cấp thấp” và “vấn đề quản lý bất biến cấp cao” (vâng, đó là thuật ngữ chuyên môn của crypto cho việc “chúng ta đã gặp rắc rối nghiêm trọng”).
Vào một ngày Chủ nhật lẽ ra phải yên bình, ai đó đã mint vô hạn token yETH, hoán đổi chúng lấy ETH thật và token staking, rồi chuồn đi với giải thưởng tiền mặt cùng khoảng 1.000 ETH được chuyển vào Tornado Cash, phiên bản bom khói của DeFi.
Vào lúc 21:11 UTC ngày 30 tháng 11, một sự cố đã xảy ra liên quan đến pool stableswap yETH dẫn đến việc mint một lượng lớn yETH. Hợp đồng bị ảnh hưởng là phiên bản tùy chỉnh của mã stableswap phổ biến, không liên quan đến các sản phẩm khác của Yearn. Các vault Yearn V2/V3 không gặp rủi ro.
— yearn (@yearnfi) December 1, 2025
Smart contract tự hủy
Phản ứng của Yearn rất nhanh chóng và có phần anh hùng. Hợp tác cùng Plume và Dinero, họ đã thu hồi lại 857,49 pxETH, khoảng 2,4 triệu đô la, cứu được một phần chiến lợi phẩm khỏi vực thẳm.
Quá trình này rất tinh vi, được Yearn mô tả trong bản tin tối là “độ phức tạp cao”, sánh ngang với vụ hack Balancer gần đây nổi tiếng về sự táo bạo.
Làm thế nào mà kẻ xấu thực hiện được màn trình diễn này? Mánh khóe nằm ở loại smart contract thông minh có khả năng tự hủy sau khi hoàn thành công việc bẩn, xóa sạch mọi dấu vết bytecode nhưng vẫn để lại những mẩu bánh mì trên blockchain cho các nhà phân tích tinh ý.
Những hợp đồng này đã mint token yETH giả, rút cạn các pool, rồi biến mất như những con tàu ma trong đêm kỹ thuật số.
Ngay cả các giao thức kỳ cựu nắm giữ hàng tỷ cũng không bất khả xâm phạm
Lời chính thức từ Yearn? Sự cố này là riêng lẻ, chỉ mã tùy chỉnh của yETH bị ảnh hưởng.
Tại thời điểm viết bài, các Vault của Yearn vẫn giữ vững 570 triệu đô la, không bị ảnh hưởng bởi vụ việc này. Nhưng phải nói rằng, đây không phải lần đầu Yearn gặp rắc rối.
Họ đã từng vướng vào các vụ khai thác từ năm 2021, bao gồm thiệt hại 11 triệu đô la từ vụ hack vault yDAI và một đợt tấn công vào hợp đồng yUSDT cũ vào năm 2023.
Như một cao bồi già dặn, Yearn liên tục bị bắn phá nhưng vẫn không chịu rời khỏi cuộc chơi.
Đối với những người đam mê DeFi, sự kiện này là hồi chuông cảnh báo lớn, ngay cả các giao thức kỳ cựu nắm giữ hàng tỷ cũng không bất khả xâm phạm.
Vụ khai thác yETH là sự pha trộn giữa những điểm yếu của smart contract và các hacker tinh ranh, minh họa cho sự nguy hiểm tiềm tàng trong bảo mật tài chính phi tập trung.
Chuyên gia Cryptocurrency và Web3, nhà sáng lập Kriptoworld
LinkedIn | X (Twitter) | Xem thêm bài viết
Với nhiều năm kinh nghiệm đưa tin về lĩnh vực blockchain, András mang đến những phân tích sâu sắc về DeFi, tokenization, altcoin và các quy định crypto đang định hình nền kinh tế số.
