Yearn Finance підтверджує злом на суму $9 млн, ядро екосистеми збережено

Інцидент вперше помітили 30 листопада 2025 року: ончейн-сигнали і фахівці PeckShield повідомили, що Yearn втратила приблизно $9 млн через вразливість, пов’язану з yETH. Пізніше команда підтвердила атаку і випустила розбір від 1 грудня, де пояснила: проблема виникла в кастомному контракті stable-swap-пулу, який використовувався в застарілій реалізації агрегуючого токена yETH. За попередніми оцінками аналітиків, близько $8 млн пішло з основного пулу yETH і близько $0,9 млн – з пари yETH–WETH.

У Yearn уточнили: вразливий контракт представляв собою спецпул для об’єднання декількох ліквідних стейкінг-токенів – таких як stETH і rETH – в yETH. Баг дозволяв зловмиснику карбувати нові yETH без достатнього забезпечення, роздуваючи пропозицію токена і обмінюючи «липові» монети на справжні активи з прив’язаних пулів ліквідності. Протокол підкреслив, що проблема обмежена саме цією старою конфігурацією yETH і не зачіпає yCRV, пул yUSND, сховища Nerite, а також основні сховища V2 і V3.

За слідами в блокчейні видно: атака не була випадковим збігом обставин — це була точна інженерна конструкція. Дослідники з ExVul Security описують її як багатоходову операцію: флеш-кредити → маніпуляції балансами стейкінг-монет в пулі → експлуатація «крайових» особливостей формул. Чергуючи операції додавання і вилучення ліквідності, зловмисник викликав втрату точності обчислень і порушив оновлення стану пулу. Коли той опинився буквально на межі обнулення, невелика транзакція add_liquidity породила гігантський обсяг LP-токенів, які потім перетворилися в активи з ліквідності.

Дослідження smart-контракту показало: експлойт вдався через три дефекти – арифметичну неточність при перекосі резервів, неправильно влаштований розподіл прибутковості за стейкінг-частками та вразливість логіки при прагненні LP-забезпечення до нуля. Особливо виділяють виклик remove_liquidity на нульову суму, який, тим не менш, повністю оновлював стан пулу. У поєднанні з update_rates це руйнувало supply стейкінг-LP і збільшувало частку атакуючого. Покроково пул втрачав застейкнані активи, а потім зловмисник «добрав» все, що залишилося, через фінальний овермінт.

Фахівці PeckShield та інші спостерігачі ланцюжка оцінюють підсумкові збитки приблизно в дев’ять мільйонів доларів. Частина викраденого – близько тисячі ETH – пішла в Tornado Cash, щоб приховати походження коштів; пара технічних контрактів, які брали участь в операції, самознищилися. Все інше – стейкінг-деривативи та інші активи — досі закріплено за адресою атакуючого і легко виявляється в блокчейн-сканерах.

Balancer також обговорює програму компенсацій – LP можуть отримати близько $8 млн з коштів, врятованих після листопадового злому v2. За словами Михайла Єгорова з Curve, частина висновків, зроблених в Yearn щодо yETH-атаки, має пряме відношення і до проблем Balancer.

У Yearn заявили, що оперативно зібрали «war room» за участю інженерів, SEAL911 і аудиторів ChainSecurity. Внесення в зачеплені пули призупинені, користувачам пропонують звертатися за підтримкою через Discord, а розробники тестують пов’язані контракти на подібні вразливості. При цьому команда підкреслює: ключові продукти не піддавалися ризику і продовжують роботу.

Зовнішні аналітики назвали атаку на yETH однією з найбільш технічно просунутих недавніх експлойтів: складний ланцюжок флеш-кредитів, акуратні маніпуляції з точністю розрахунків, ігри зі статом при нульових параметрах і стрімке приховування слідів. Інцидент став зайвим доказом, що навіть дрібні дефекти, якщо їх вміло пов’язати, перетворюються на серйозну пробоїну. Розробники переконані: контракти з важкою математикою і декількома видами активів повинні проходити формальну верифікацію і жорстке стрес-тестування рідкісних режимів.

Прорив уразливості припав на і без того нервовий ринок. У міру поширення новин продавці посилювали тиск: трейдери побоювалися, чи не викличе інцидент в Yearn більш широкого згортання ризиків серед користувачів протоколів, пов’язаних з його стратегіями. Аналітики нагадували, що Yearn тісно інтегрований з великими платформами на кшталт Curve і Aave, і саме тому частина учасників ринку насторожилася – чи не почнуть виводити ліквідність, навіть незважаючи на запевнення Yearn про повну збереження основних сховищ і їх ізоляцію від проблемного yETH.

Для Yearn це не перший «кризовий» епізод. У 2021-му експлойт yDAI-сховища v1 обійшовся проекту в $2,8 млн – кошти потерпілим повернули. Наприкінці 2023 року неправильно налаштована multisig-операція на рутинній конвертації комісій «з’їла» близько 63% казни – приблизно $1,4 млн – і призвела до екстреного коригування внутрішніх процедур. Поточний злом лише додає новий пункт до складної історії безпеки Yearn.

Зараз команда завершує розслідування, закриває баги в застарілій архітектурі yETH спільно з аудиторами і координує пошук атакуючого. Користувачам, які опинилися в зоні ризику, радять стежити за оновленнями, а власників основних vault-ів запевняють: їхні активи повністю ізольовані від вразливого модуля.