В протоколе Yearn Finance обнаружен эксплойт, приведший к потере миллионов долларов

Атакующий использовал уязвимость в пуле yETH протокола Yearn Finance для неограниченной эмиссии токенов и вывода миллионов долларов. Злоумышленник создал около 235 триллионов токенов yETH за одну транзакцию благодаря ошибке в смарт-контракте. Используя поддельные токены, неизвестный вывел ликвидность на сумму около 2,8 миллиона долларов, преимущественно в ETH и токенах ликвидного стейкинга. Для маскировки часть средств прошла через миксер Tornado Cash. Специалисты платформы Nansen классифицировали эксплойт как уязвимость бесконечной эмиссии в контракте yETH.

Команда Yearn Finance подтвердила инцидент и отметила, что атака ограничилась контрактом токена yETH, а хранилища версий V2 и V3 остались нетронутыми. Общая стоимость активов под управлением протокола превышает 600 миллионов долларов.

Сразу после обнаружения аномальной активности команда протокола остановила работу уязвимого пула и начала расследование совместно с внешними специалистами по безопасности. Пользователям посоветовали избегать взаимодействия с затронутыми пулами.

Протокол Yearn Finance позиционирует себя как один из ключевых DeFi-проектов экосистемы Ethereum. Потеря средств может повлиять на доверие пользователей к протоколу и вызвать повышенное внимание регуляторов к механизмам защиты в децентрализованных платформах.