Włamanie do Yearn Finance na $9 mln – tylko cień na starym yETH

Haker wykorzystał lukę w starym yETH, by bez kontroli wybijać tokeny i przejąć środki o wartości około $9 mln. Zarówno V2/V3, jak i yCRV pozostają poza zasięgiem incydentu.

Incydent po raz pierwszy zauważono 30 listopada 2025 r., gdy analitycy on-chain oraz PeckShield zgłosili, że Yearn straciło około $9 mln przez lukę powiązaną z yETH. Zespół potwierdził atak i 1 grudnia opublikował szczegółowy raport, wyjaśniając, że źródłem problemu był niestandardowy kontrakt stable-swap wykorzystywany w przestarzałej wersji agregującego tokena yETH. Wstępne wyliczenia wskazują na ubytek ok. $8 mln z głównego puli yETH i około $0,9 mln z pary yETH–WETH.

Jak precyzuje Yearn, wadliwy kontrakt obsługiwał specjalny pul do łączenia kilku płynnych tokenów stakingowych – takich jak stETH i rETH – w yETH. Luka pozwalała na mint niepokrytych yETH, pompując ich podaż i wymieniając „fałszywe” tokeny na realne aktywa z podpiętych puli. Jednostka podkreśla, że błąd dotyczył wyłącznie tej starej architektury i nie obejmuje yCRV, puli yUSND, skarbców Nerite ani głównych magazynów V2/V3.

Ślad on-chain wskazuje na planowe działanie: ExVul Security opisuje precyzyjny, wieloetapowy exploit: flash-loan → manipulacja saldami w puli stakingowej → atak na podatności obliczeniowo-stanowe. Złoczyńca przeplatał dodawanie i wycofywanie płynności, wywołując utratę dokładności i rozjazd stanu. Gdy pul prawie się „wyzerował”, niewielka operacja add_liquidity wygenerowała ogrom LP-tokenów, które następnie wymieniono na wartościowe aktywa.

Kod smart-kontraktu nie wytrzymał starcia z rzeczywistością: połączenie trzech niedociągnięć – błędów zaokrągleń przy nierównych rezerwach, niewłaściwego algorytmu dzielenia zysków i wady logiki przy zanikającym zabezpieczeniu LP – otworzyło drzwi dla hakera. remove_liquidity(0) wyglądało na bezpieczne, ale aktualizowało cały stan puli, co przy jednoczesnym wywołaniu update_rates systematycznie zwiększało udział napastnika. A gdy pula „odchudziła się” do minimum – ostatni over-mint zgarnął wszystko.

Zgodnie z analizą PeckShield szkody to ok. $9 mln. Około 1 000 ETH dokonano „prania” przez Tornado Cash, kilka pomocniczych kontraktów zniknęło w self-destruct, reszta aktywów wciąż identyfikowalna on-chain.

Balancer równolegle omawia program rekompensat – dostawcy płynności mogą liczyć na około 8 mln dolarów z puli środków odzyskanych po listopadowym włamaniu na v2. Jak zauważa Michaił Jegorow z Curve, część wniosków wyciągniętych przez Yearn po ataku na yETH odnosi się także do problemów Balancera.

Yearn informuje, że natychmiast uruchomił „war room” z udziałem własnych inżynierów, specjalistów SEAL911 i audytorów ChainSecurity. Depozyty w dotkniętych pulach zostały wstrzymane, użytkownicy mają zgłaszać się po pomoc na Discordzie, a deweloperzy testują powiązane kontrakty pod kątem podobnych błędów. Kluczowe produkty nadal działają i – jak podkreśla zespół – nie znalazły się w strefie zagrożenia.

Zewnętrzni analitycy zaliczają atak na yETH do najbardziej zaawansowanych technicznie exploitów ostatnich miesięcy: wielowarstwowe flash-pożyczki, dopracowane manipulacje precyzją obliczeń, gra stanem przy zerowych parametrach i szybkie zacieranie śladów. To kolejny dowód, że drobne błędy połączone w łańcuch mogą stać się poważną dziurą. Programiści przypominają: kontrakty z rozbudowaną matematyką i wieloma aktywami muszą przechodzić formalną weryfikację i ekstremalne testy rzadkich scenariuszy.

Wycieńczony nerwową atmosferą rynek przyjął tę lukę wyjątkowo źle. Gdy wiadomości zaczęły się rozchodzić, presja sprzedażowa rosła: traderzy obawiali się, że incydent w Yearn może uruchomić szersze ograniczanie ryzyka przez użytkowników protokołów powiązanych ze strategiami Yearn. Analitycy przypominali, że ekosystem jest mocno spleciony z dużymi platformami, takimi jak Curve i Aave – dlatego część uczestników zaczęła rozważać wycofanie płynności, mimo zapewnień o pełnej izolacji głównych magazynów aktywów od wadliwej konstrukcji yETH.

Dla Yearn nie jest to pierwszy kryzys. W 2021 r. luka w skarbcu yDAI v1 kosztowała projekt 2,8 mln dolarów – i te środki zwrócono poszkodowanym. Pod koniec 2023 r. źle skonfigurowana operacja multisig podczas rutynowej konwersji prowizji uszczupliła skarbiec o ok. 63%, czyli ~1,4 mln dolarów, co wymusiło nagłe wdrożenie nowych procedur. Aktualny incydent dopisuje kolejny rozdział do burzliwej historii bezpieczeństwa Yearn.

Zespół zamyka teraz śledztwo, łata luki w starej architekturze yETH we współpracy z audytorami i koordynuje identyfikację atakującego. Użytkownikom zalecono monitorowanie komunikatów, a posiadaczy głównych vaultów uspokaja się: ich środki są w pełni odseparowane od wadliwego modułu.