Yearn Finance bekreftet et aktivt angrep som påvirket deres yETH-produkt på søndag, etter at en angriper utstedte en effektivt ubegrenset mengde yETH og tømte likviditet fra Balancer-pooler.
Hendelsen utløste omfattende kjedebevegelser, inkludert flere 100 ETH-overføringer routet gjennom Tornado Cash.
Infinite-mint angrep tapper likviditet fra Balancer pools
I henhold til blokkjede-data fant angrepet sted rundt 21:11 UTC 30. november, da en ondsinnet lommebok utførte et uendelig myntangrep som skapte omtrent 235 billioner yETH i en enkelt transaksjon.
Nansens varslingssystem bekreftet senere angrepet og identifiserte hendelsen som en sårbarhet for uendelig myntutstedelse i yETH-token-kontrakten, ikke i Yearns Vault-infrastruktur.
Angriperen brukte den nyutstedte yETH til å tømme reelle aktiva—primært ETH og Liquid Staking Tokens (LSTs)—fra Balancer likviditetspooler. Tidlige estimater antyder at omtrent $ 2,8 millioner i aktiva ble fjernet.
Rundt 1000 ETH ble hvitvasket gjennom Tornado Cash kort tid etter angrepet. Flere hjelpekontrakter brukt i angrepet ble distribuert minutter før hendelsen og destruerte seg selv etterpå for å skjule sporene.
Yearn uttalte at V2- og V3-hvelv ikke var påvirket, og sårbarheten ser ut til å være begrenset til den eldre yETH-implementeringen.
Protokollens Total Verdi Låst (TVL) forblir over $ 600 millioner, ifølge CoinGecko, noe som indikerer at kjerne-systemene ikke ble kompromittert.
YFI-pris stiger ettersom markedet reverserer den innledende panikken
Men markedsreaksjonen skapte en uventet dynamikk. Kort tid etter at angrepet ble merket på sosiale medier og av blokkjede-analytikere, steg YFI-prisen markant, fra nær $ 4080 til over $ 4160 innen én time.
Bevegelsen kom til tross for de negative overskriftene rundt det bredere Yearn-økosystemet.
Prisreaksjonen ser ut til å være knyttet til markedsmisforståelse i de tidlige minuttene av hendelsen. Innledende påstander om en “Yearn-uårsmak” utløste høy-giring short-posisjoner på YFI, gitt tokenets tynne likviditet og historisk aggressive nedadgående bevegelser under hackhendelser.
Angrepet var isolert til yETH og ikke Yearns hvelv, og short-selgere begynte å dekke sine posisjoner. Dette utløste en kortvarig short-squeeze og en volatilitetsdrevet prisspike.
YFIs sirkulerende forsyning er bare 33 984 tokens, noe som gjør det til en av de mest illikvide større DeFi-styringsaktivaene. Denne strukturen forsterker prisbevegelser, særlig under perioder med usikkerhet eller raske likvidasjonsstrømmer. Derivatdata viste også forhøyet finansieringsvolatilitet umiddelbart etter varselet om angrepet.
For nå ser tapene ut til å være begrenset til yETH og Balancer-poolene berørt av angrepet. Etterforskninger pågår fortsatt, og det er uklart om noen oppgjørsmuligheter eksisterer for de stjålne aktivaene.
Markedene vil sannsynligvis se etter en formell Yearn-utgivelse som beskriver rotårsaken, reparasjonsforsøk og potensielle styringshandlinger.
