30 ноября известный DeFi-протокол Yearn Finance подвергся хакерской атаке, общий ущерб от которой составил приблизительно $9 млн, о чем сообщили специалисты по блокчейн-безопасности PeckShield. Команда проекта оперативно подтвердила факт взлома, уточнив, что инцидент произошел из-за критической уязвимости в коде продукта Yearn Ether (yETH). Этот взлом стал самым крупным для протокола с 2021 года.

По данным PeckShield, злоумышленники использовали уязвимость для создания почти бесконечного количества монет, что позволило им опустошить весь пул одной транзакцией, выведя около 1000 ETH (приблизительно $3 млн). Украденные средства были немедленно отправлены в криптомиксер Tornado Cash с целью сокрытия следов. Предварительный анализ указал, что приблизительные потери составили $8 млн из затронутого пула stableswap и $0,9 млн из пула стабильного обмена yETH-WETH на платформе Curve.

Разработчики Yearn подчеркнули, что затронутый контракт являлся кастомной версией популярного кода stableswap и не был связан с другими продуктами протокола, в связи с чем Yearn V2/V3 остаются в безопасности. Команда добавила, что по уровню сложности взлом похож на недавний эксплойт Balancer и попросила проявить терпение, пока проводится полный анализ. На фоне инцидента собственный токен протокола, YFI, просел на 5,5%, а общая заблокированная стоимость (TVL) протокола снизилась с $432 млн до $410 млн за последние сутки, хотя на пике в ноябре 2021 года TVL составлял $6,7 млрд.

Этот инцидент не является первым для Yearn Finance; в 2021 году неизвестный вывел $2,8 млн из пула v1 yDAI, причем тогда проект оперативно возместил потери пострадавшим пользователям. Кроме того, в декабре 2023 года протокол потерял $1,4 млн казначейских средств в результате «ошибочного сценария» мультисиг-транзакции в ходе «обычного процесса конвертации токенов комиссий».