Yearn Finance leitet nach dem Hackerangriff in Höhe von 9 Millionen US-Dollar Rückzahlungen ein und wird 2,39 Millionen US-Dollar an die Einleger zurückerstatten.

Yearn Finance hat den Rückgewinnungsprozess für die Gelder eingeleitet, die am 30. November durch eine Sicherheitslücke im Wert von 9 Millionen Dollar in ihrem yETH-Stableswap-Pool gestohlen wurden.

Das DeFi Protokoll gab bekannt, dass es erfolgreich Vermögenswerte im Wert von 2,39 Millionen US-Dollar zurückgefordert hat, die an die betroffenen Einleger zurückgegeben werden sollen.

berichtete Cryptopolitan, ereignete sich der Angriff um 21:11 Uhr UTC und zielte auf eine angepasste Version des StableSwap-Codes ab. Yearn Finance bestätigte, dass die Hauptprodukte V2 und V3 Vault von dem Vorfall nicht betroffen warendent weiterhin für die Nutzer sicher sind.

Yearn Finance erzielt 2,39 Millionen Dollar durch koordinierte Bemühungen

Das Protokoll gab die Rückgewinnung von 857,49 pxETH im Wert von 2,39 Millionen US-Dollar durch eine gemeinsame Aktion mit den Teams von Plume und Dinero bekannt. Yearn Finance erklärte, dass der Rückgewinnungsprozess noch andauert und alle weiteren zurückgewonnenen Vermögenswerte an die betroffenen Einleger zurückgegeben werden.

Die Rückforderungsaktion erfolgte nur wenige Tage nach dem ursprünglichen Angriff. Ein Krisenstab mit SEAL911 und dem Auditpartner ChainSecurity ist weiterhin aktiv, während die umfassende Untersuchung des Vorfalls andauert. Die Sicherheitsmaßnahmen umfassen die tracder gestohlenen Daten und die Verhinderung weiterer Verluste.

yETH-Update: Dank der Unterstützung der Teams von Plume und Dinero konnten 857,49 pxETH (2,39 Mio. USD) koordiniert zurückgeholt werden. Die Rückholungsmaßnahmen dauern an. Alle erfolgreich zurückgeholten Vermögenswerte werden an die betroffenen Einleger zurückgegeben.https://t.co/xaClNhd0C0

— yearn (@yearnfi) 1. Dezember 2025

Die 9-Millionen-Dollar-Exploit-Analyse

Zusammen verloren die beiden Pools rund 9 Millionen US-Dollar. Am stärksten betroffen war der Stableswap-Pool mit einem Verlust von etwa 8 Millionen US-Dollar. Auch Curve erlitt Verluste, da der yETH-WETH-Stableswap um weitere 900.000 US-Dollar aufgelöst wurde.

Der Angreifer nutzte eine Sicherheitslücke aus, die die Generierung einer großen Anzahl von yETH-Token ermöglichte. Laut ersten Analysen von Yearn Finance erzeugte der Hacker etwa 235 Billionen yETH, ohne die erforderlichen Sicherheiten zu hinterlegen.

Durch die Verwendung des aufgeblähten Token-Guthabens konnte der Angreifer die ungedeckten yETH gegen legitime liquide Staking-Assets wie stETH, rETH und cbETH aus dem Stableswap-Pool und Wrapped Ethereum aus dem Curve-Pool tauschen.

Schwachstelle in Legacy-Pools aufgedeckt

Diesertracwar eine angepasste Version eines der gängigen StableSwap-Codes unddent von den übrigen Yearn Finance-Produkten. Im Protokoll wurde betont, dass kein anderes Yearn-Produkt ähnlichen Code wie den bei dem Angriff kompromittierten verwendet.

Die Sicherheitslücke betraf einen älteren, bestehendentracim Zusammenhang mit dem yETH-Token. Dadurch konnte der Angreifer neue Token ohne die erforderlichen Sicherheiten prägen und sie somit quasi aus dem Nichts erschaffen.

Yearn Finance erklärte, dass die erste Analyse diesen Hack in eine ähnliche Komplexität wie den kürzlich aufgetretenen Balancer-Exploit. Der yETH-Stableswap-Pool war nicht mit der Hauptinfrastruktur der Yearn-Vaults (Version 2 und 3) verbunden, was dazu beitrug, den Hack zu isolieren und somit seine Ausbreitung auf die Kernprodukte zu verhindern.

Angreifer wäscht Gelder über einen Mischer

Nur wenige Stunden nach dem Angriff begann der Angreifer, die gestohlenen Vermögenswerte zu transferieren, um seine Spuren zu verwischen. Etwa 1.000 ETH im Wert von rund 3 Millionen US-Dollar wurden anschließend an den Krypto-Mixing-Dienst Tornado Cashtransferiert.

Zum 1. Dezember befanden sich noch etwa 6 Millionen US-Dollar der gestohlenen Gelder in der Wallet-Adresse des Angreifers 0xa80d.c822. Die verbleibenden Gelder bestanden hauptsächlich aus gestakten ETH-Derivaten, die noch nicht gewaschen worden waren.

Das Yearn Finance-Team veröffentlichte eindeutige Stellungnahmen, die belegen, dass die Kernprodukte ihrer Vaults nicht von der Sicherheitslücke betroffen sind. Die Vaults V2 und V3 befinden sich in einem separaten Smarttracund verfügen über eine andere Codebasis als der betroffene Legacy-Pool.

Nutzer, die Guthaben in Yearn V2- und V3-Vaults hatten, mussten nichts unternehmen. Das Protokoll erklärte, dass derdent vom 30. November nur Einleger im betreffenden yETH-Stableswap-Pool betraf.

dentim November

Der Hackerangriff auf Yearn Finance beendete einen schwierigen Monat für die Kryptosicherheit. Im November 2025 wurden Verluste von fast 200 Millionen US-Dollar über mehrere namhafte Plattformen und Protokolle verzeichnet.

des Monatsdenttractrac tractractractrac tractracDie südkoreanische Kryptobörse Upbit wurde Opfer eines Angriffs auf ihre Hot Wallets, der zu Verlusten zwischen 30 und 38 Millionen US-Dollar führte.

Zu den weiterendentim November gehörten eine Übernahme von GANA Payment im Wert von 3,1 Millionen US-Dollar durch einen Smarttracsowie Verluste von rund 5 Millionen US-Dollar bei Hyperliquid aufgrund von Preismanipulationen.