Der Legacy-Yearn-TUSD-Tresor von Yearn Finance V1 wurde gehackt

Eine ältere Version des dezentralen Finanzprotokolls Yearn wurde Opfer eines Exploits, was Bedenken hinsichtlich falsch konfigurierter und unveränderlicher Smarttracneu entfachte, die noch Jahre nach ihrer Abschaffung Gelder im Netzwerk hielten.

In einem Beitrag auf X vom Mittwoch berichtete das Sicherheitsunternehmen PeckShield, dass der Hack von YearnFinanceV1 zu Verlusten von rund 300.000 US-Dollar geführt hat. Die gestohlenen Gelder wurden in 103 Ether umgetauscht und befinden sich nun unter der Adresse 0x0F21…4066, wie aus von dem Unternehmen veröffentlichten Etherscan-Bildern hervorgeht.

#PeckShieldAlert YearnFinanceV1 @yearnfi wurde Opfer eines Sicherheitsvorfalls, der zu einem Gesamtverlust von ca. 300.000 US-Dollar führte.

getauscht ETH, die sich nun auf der Adresse 0x0F21…4066 befinden. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 17. Dezember 2025

Die Hacker nutzten einen veralteten Yearn-Vault aus, der mit TrueUSD verknüpft war und als „iearn TUSD-Vault“ bekannt ist. Dieser ist trotz neuerer Versionen weiterhin auf Ether im Einsatz. Eine Konfigurationslücke ermöglichte es den Angreifern, die Aktienkurse durch mehrere Transaktionen zu manipulieren.

Eine Fehlkonfiguration des Tresors bei Yearn Finance löste Preismanipulationen aus. 

Laut einer Analyse des pseudonymen Kryptoforschers und Absolventen der Universität für Wissenschaft und Technologie Chinas, Weilin Li, konfigurierte der Tresor eine seiner Strategien als Fulcrum sUSD-Tresor und berechnete seinen Aktienkurs ausschließlich anhand des eingezahlten sUSD-Guthabens.

Dies öffnete die Tür für sogenannte „Spendenangriffe“, bei denen Angreifer Vermögenswerte direkt in einen Tresor transferieren, um die Bilanzkennzahlen zu verfälschen. Nachdem die Täter Fulcrum sUSD-Token in den Yearn TUSD-Tresor eingezahlt hatten, konnten sie den ausgewiesenen Aktienkurs des Tresors künstlich in die Höhe treiben.

Das Problem wurde durch eine Rebalancing-Funktion verschärft, die alle zugrunde liegenden Vermögenswerte in sUSD abzog – einem Vermögenswert, der nicht in die Aktienkursberechnung des Tresors einfloss. Mit Beginn des Rebalancings brach der Aktienkurs des Tresors stark ein und löste einen Preisschock aus.

Laut dem Etherscan-Snapshot von PeckShield Alert führte der Angreifer sequenzielle Flash-Kredite durch, indem er zunächst große Mengen an TUSD und sUSD ohne Vorabsicherheiten aufnahm. Anschließend zahlte er sUSD ein, um Fulcrum sUSD-Token zu prägen, bevor er TUSD in den Yearn TUSD-Tresor einzahlte. 

Zu diesem Zeitpunkt bestanden alle Vermögenswerte des TUSD-Vaults aus Fulcrum sUSD-Token. Der Angreifer hob Guthaben aus dem Yearn TUSD-Vault ab und aktivierte die Rebalancing-Funktion, wodurch Fulcrum gezwungen war, alle Token in sUSD umzutauschen. Da sUSD bei der Aktienkursberechnung nicht berücksichtigt wurde, brach die Buchhaltung des Vaults zusammen, was den Aktienkurs effektiv gegen null drückte.

Der Angreifer transferierte anschließend eine kleine Menge TUSD zurück in den Tresor, wodurch der Aktienkurs extrem fiel, und prägte eine übermäßige Anzahl von Yearn TUSD-Token zu minimalen Kosten. Schließlich realisierte er Gewinne, indem er die günstig erworbenen Yearn TUSD-Token auf Curve-Pools verkaufte und so Wert von Liquiditätsanbieterntrac, bevor er die Flash-Kredite zurückzahlte.

Yearn Finance fasst die Schwachstellen des Jahres 2023 zusammen, Forscher berichten

Forscher Li stellte fest, dass die Sicherheitslücke einem Angriff aus dem Jahr 2023 ähnelte, der zu Verlusten von über 10 Millionen US-Dollar führte. Der unveränderliche yUSDT-trac, der bei diesem früherendent angegriffen wurde, war vor mehr als drei Jahren, in der Anfangsphase von iearn unter der Leitung des verstorbenen Andre Cronje, implementiert worden.

Zur Ergänzung: Es handelt sich um genau denselben Angriffsvektor wie beim letzten Mal: ​​https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

– Weilin (William) Li (@hklst4r) 16. Dezember 2025

Pessimistische Sicherheitsanalysten hatten bereits vor der Ausnutzung der Sicherheitslücke in den sozialen Medien davor gewarnt, aber da unveränderliche Smarttracnach der Bereitstellung weder gepatcht noch pausiert werden können, war dies unvermeidlich.

 „iearn finance, Smoothswap, seid vorsichtig. Diese Adresse 0x5bac20…ed8e9cdfe0 hat 10 ETH von Tornado erhalten und schließttracmit Flash-Krediten unter Verwendung eurer Adressen ab“, schrieb Nikiti Kirillov von PS.

Ein Yearn- Teammitglied namens storming0x bestätigte den Angriff und versicherte den Nutzern, dass die bestehendentracjedoch deckten 1.156 Tage benötigte, DeFi um eine Sicherheitslücke im Wert von mehreren Millionen Dollar zu entdecken.

Der Yearn yUSDT-Token-tracgenerierte Renditen aus einem Portfolio renditebringender Positionen, darunter USDT-Einlagen bei Aave, Compound, dYdX und BzX' Fulcrum. Seit dem Start enthielt yUSDT jedoch einen Kopierfehler, der auf die Fulcrum-USDC-Adresse anstatt auf den Fulcrum-USDT-tracverwies. 

Mit nur 10.000 USDT konnten Hacker etwa 1,2 Billiarden yUSDT prägen und so den Wert des Systems mindern, bevor cashauszahlen ließen.

Der Yearn-Vorfalldent sich weniger als eine Woche, nachdem Cryptopolitan über einen Abfluss von 2,7 Millionen US-Dollar aus einem alten VertragtracRibbon Finance, der umbenannten Version von Aevo, berichtet hatte. Bei diesem Angriff handelte es sich um wiederholte Interaktionen mit einem Proxy-Admin-Vertragtracder Adresse 0x9D7b…8ae6B76. Der Angreifer nutzte Funktionen wie transferOwnership und setImplementation, um Preisfeed-Proxys durch Delegatenaufrufe zu manipulieren.