Odaily 星кова Дейлі повідомляє, що Yearn Finance опублікував детальний післяінцидентний звіт щодо вразливості yETH минулого тижня, вказавши на наявність триетапної числової помилки у спадкованому пулі ліквідності stableswap. Ця помилка дозволила зловмиснику «безкінечно карбувати» LP-токени та викрасти з пулу ліквідності активи на суму близько 9 мільйонів доларів США. Yearn підтвердив, що за підтримки команд Plume та Dinero вдалося успішно повернути 857,49 одиниць pxETH, що становить приблизно чверть викрадених активів. Команда планує пропорційно розподілити повернуті кошти між вкладниками yETH. Децентралізований фінансовий протокол зазначає, що атака на вразливість відбулася у блоці 23,914,086 30 листопада 2025 року, коли зловмисник за допомогою складної послідовності дій змусив внутрішній парсер пулу ліквідності...

PANews, 8 грудня: За обговореннями на платформі X декілька розробників вважають, що хоча атаку на yETH було віднесено до виявлення за допомогою fuzzing, реальний шлях атаки був складнішим — ймовірно, спочатку було знайдено первинну вразливість, а потім поступово посилено її шкідливий ефект. Засновник Curve Michael

Згідно з повідомленням Jinse Finance, за даними моніторингу SlowMist, 1 грудня децентралізований фінансовий протокол yearn зазнав хакерської атаки, внаслідок якої було завдано збитків приблизно на 9 мільйонів доларів США. Команда безпеки SlowMist провела аналіз цього інциденту та підтвердила основну причину наступним чином: Вразливість виникла через логіку функції calcsupply, яка використовується для розрахунку обсягу пропозиції у контракті Yearn yETH Weighted Stableswap Pool. Через небезпечні арифметичні операції ця функція дозволяла переповнення та помилки округлення під час розрахунку, що призводило до значних відхилень у обчисленні добутку нової пропозиції та віртуального балансу. Зловмисник скористався цим недоліком, щоб маніпулювати ліквідністю до певного значення та надмірно емісувати токени пулу ліквідності (LP), отримуючи цим незаконний прибуток. Рекомендується посилити тестування граничних сценаріїв та використовувати перевірені безпечні арифметичні механізми, щоб запобігти подібним атакам.

PANews 1 грудня, Yearn повідомила в Twitter, що атака, пов'язана з yETH, не торкнулася продукту yCRV.

PANews 1 грудня повідомляє, що згідно з PeckShieldAlert на платформі X, Yearn Finance зазнав атаки, хакер через безкінечний мінтинг yETH вичерпав фонд, завдавши збитків приблизно на 9 мільйонів доларів. З них близько 1000 ETH (приблизно 300 тисяч доларів) були переведені в Tornado Cash, адреса атакуючого все ще має криптоактиви на приблизно 6 мільйонів доларів.

PANews 1 грудня повідомляє, що, за даними The Block, агреговано-стейкінговий продукт yETH від Yearn Finance зазнав атаки, зловмисник через вразливість майже безмежно мінтить yETH, одна транзакція вичерпує активи в пулі. Дані у блокчейні показують, що зловмисник потім перевів близько 1000 монет ETH (приблизно 3 мільйони доларів) до протоколу змішування Tornado Cash. Кілька контрактів, що використовувалися для атаки, після транзакції самознищилися. Наразі конкретний обсяг втрат залишається невідомим, Yearn повідомляє, що проводить розслідування події, його V2 та V3.