Серьезный инцидент безопасности в пуле Yearn Finance yETH
Децентрализованный протокол доходности Yearn Finance вновь столкнулся с атакой на безопасность. В пуле ликвидности yETH недавно наблюдалась аномальная торговая активность: за короткий срок был выведен крупный объем ликвидных стейкинг-токенов (LST). Пул yETH, объединяющий ведущие LST, играет ключевую роль в экосистеме Yearn, что вызывает значительное беспокойство на рынке.
Способ атаки: фальшивый выпуск и мгновенное опустошение пула
Согласно ончейн-данным, злоумышленник задействовал серию кастомных смарт-контрактов, чтобы в одной транзакции выпустить неограниченное количество токенов yETH. Затем он обменял эти искусственно созданные токены на все LST-активы пула, полностью опустошив его за считанные секунды. Ущерб оценивается в несколько миллионов долларов США.
После атаки примерно 1 000 ETH (около $3 млн) были быстро переведены в Tornado Cash, что затруднило отслеживание средств. Несколько атакующих контрактов были удалены сразу после исполнения, это свидетельствует о тщательной подготовке и высоком уровне технической сложности атаки.
Оценка убытков ожидает официального подтверждения
До инцидента пул yETH содержал примерно $11 млн активов. Точные потери нуждаются в подтверждении со стороны Yearn Finance и команд по блокчейн-безопасности. Часть ETH могла быть потрачена или утрачена из поля зрения в результате атаки.
Ончейн-аналитик Togbe первым зафиксировал нарушение, обнаружив аномалии при мониторинге крупных перемещений средств и публично сообщил о нападении.
Официальная реакция и исторический контекст
(Источник: yearnfi)
Yearn Finance сообщил в X, что команда активно расследует инцидент. Уточняется, что хранилища V2 и V3 остались вне зоны риска. Протокол уже сталкивался с рядом серьезных проблем:
- 2021: уязвимость хранилища yDAI — потери около $11 млн
- 2022: основатель Andre Cronje объявил о выходе из проекта, что повлияло на развитие протокола
- Конец 2023: ошибка сценария снизила активы казначейства на 63 %, средства пользователей не пострадали
На данный момент команда Yearn не раскрыла новые детали расследования. Рынок ожидает дальнейших сообщений.
Дополнительная информация о Web3 доступна по ссылке: https://www.gate.com/
Резюме
Этот инцидент показывает, что даже зрелые DeFi-протоколы с сильным сообществом и историей аудитов остаются уязвимыми к ошибкам в логике контрактов, межконтрактным взаимодействиям и недостаткам управления. Yearn Finance предстоит не только устранить уязвимости, но и восстановить доверие рынка. Вся экосистема DeFi вновь осознаёт, насколько важны аудиты, мониторинг и регулярное обслуживание для долгосрочной стабильности. Инновации способствуют развитию DeFi, но именно баланс между скоростью развития и безопасностью определяет устойчивость и успех отрасли.
