Yearn Finance подтверждает взлом $9 млн, ядро экосистемы сохранено

Инцидент впервые заметили 30 ноября 2025 года: ончейн-сигналы и специалисты PeckShield сообщили, что Yearn лишилась примерно $9 млн из-за уязвимости, связанной с yETH. Позже команда подтвердила атаку и выпустила разбор от 1 декабря, где объяснила: проблема возникла в кастомном контракте stable-swap-пула, который использовался в устаревшей реализации агрегирующего токена yETH. По предварительным оценкам аналитиков, около $8 млн ушло из основного пула yETH и порядка $0,9 млн – из пары yETH–WETH.

В Yearn уточнили: уязвимый контракт представлял собой спецпул для объединения нескольких ликвидных стейкинг-токенов – таких как stETH и rETH – в yETH. Баг позволял злоумышленнику чеканить новые yETH без достаточного обеспечения, раздувая предложение токена и обменяя «липовые» монеты на настоящие активы из привязанных пулов ликвидности. Протокол подчеркнул, что проблема ограничена именно этой старой конфигурацией yETH и не затрагивает yCRV, пул yUSND, хранилища Nerite, а также основные хранилища V2 и V3.

По следам в блокчейне видно: атака не была случайным стечением обстоятельств – это была точная инженерная конструкция. Исследователи из ExVul Security описывают её как многоходовую операцию: флэш-кредиты → манипуляции балансами стейкинг-монет в пуле → эксплуатация «краевых» особенностей формул. Чередуя операции добавления и изъятия ликвидности, злоумышленник вызвал потерю точности вычислений и нарушил обновление состояния пула. Когда тот оказался буквально на грани обнуления, небольшая транзакция add_liquidity породила гигантский объём LP-токенов, которые затем превратились в активы из ликвидности.

Исследование smart-контракта показало: эксплойт удался из-за трёх дефектов – арифметической неточности при перекосе резервов, неправильно устроенного распределения доходности по стейкинг-долям и уязвимости логики при стремлении LP-обеспечения к нулю. Особо выделяют вызов remove_liquidity на нулевую сумму, который тем не менее полностью обновлял состояние пула. Вкупе с update_rates это разрушало supply стейкинг-LP и увеличивало долю атакующего. По шагам пул терял стейкнутые активы, а затем злоумышленник «добрал» всё оставшееся через финальный оверминт.

Специалисты PeckShield и другие наблюдатели цепочки оценивают итоговый урон примерно в девять миллионов долларов. Часть похищенного – около тысячи ETH – ушла в Tornado Cash, чтобы скрыть происхождение средств; пара технических контрактов, участвовавших в операции, самоуничтожились. Всё остальное – стейкинг-деривативы и иные активы – до сих пор закреплено за адресом атакера и легко обнаруживается в блокчейн-сканерах.

Balancer также обсуждает программу компенсаций – LP могут получить около $8 млн из средств, спасённых после ноябрьского взлома v2. По словам Михаила Егорова из Curve, часть выводов, сделанных в Yearn по yETH-атаке, имеет прямое отношение и к проблемам Balancer.

В Yearn заявили, что оперативно собрали “war room” с участием инженеров, SEAL911 и аудиторов ChainSecurity. Внесения в задетые пулы приостановлены, пользователям предлагают обращаться за поддержкой через Discord, а разработчики тестируют связанные контракты на подобные уязвимости. При этом команда подчёркивает: ключевые продукты не подвергались риску и продолжают работу.

Внешние аналитики назвали атаку на yETH одной из самых технически продвинутых недавних эксплойтов: сложная цепочка флэш-кредитов, аккуратные манипуляции точностью расчётов, игры со стейтом при нулевых параметрах и стремительное сокрытие следов. Инцидент стал лишним доказательством, что даже мелкие дефекты, если их умело связать, превращаются в серьёзную пробоину. Разработчики убеждены: контракты с тяжёлой математикой и несколькими видами активов должны проходить формальную верификацию и жёсткий стресс-тестинг редких режимов.

Прорыв уязвимости пришёлся на и без того нервный рынок. По мере распространения новостей продавцы усиливали давление: трейдеры опасались, не вызовет ли инцидент в Yearn более широкого свёртывания рисков среди пользователей протоколов, связанных с его стратегиями. Аналитики напоминали, что Yearn тесно интегрирован с крупными платформами вроде Curve и Aave, и именно поэтому часть участников рынка насторожилась – не начнут ли выводить ликвидность, даже несмотря на заверения Yearn о полной сохранности основных хранилищ и их изоляции от проблемного yETH.

Для Yearn это не первый «кризисный» эпизод. В 2021-м эксплойт yDAI-хранилища v1 обошёлся проекту в $2,8 млн – средства пострадавшим вернули. В конце 2023-го неправильно настроенная multisig-операция на рутинной конвертации комиссий «съела» около 63% казны – примерно $1,4 млн – и привела к экстренной корректировке внутренних процедур. Текущий взлом лишь добавляет новый пункт к сложной истории безопасности Yearn.

Сейчас команда завершает расследование, закрывает баги в устаревшей архитектуре yETH совместно с аудиторами и координирует поиск атакера. Пользователям, оказавшимся в зоне риска, советуют следить за обновлениями, а держателей основных vault-ов уверяют: их активы полностью изолированы от уязвимого модуля.