Il caveau TUSD di Yearn Finance V1 è stato hackerato

Una versione legacy del protocollo finanziario decentralizzato Yearn è stata vittima di un exploit, che ha fatto rinascere le preoccupazioni suitracintelligenti mal configurati e immutabili che hanno mantenuto fondi sulla rete anni dopo essere stati deprecati.

In un post di mercoledì, la società di sicurezza informatica PeckShield ha riferito che l'attacco hacker a YearnFinanceV1 ha causato perdite per circa 300.000 dollari. I fondi rubati sono stati scambiati con 103 Ether e ora si trovano all'indirizzo 0x0F21…4066, secondo le immagini Etherscan condivise dalla società.

#PeckShieldAlert YearnFinanceV1 @yearnfi ha subito un exploit, che ha causato una perdita totale di circa 300.000 $.

Il malintenzionato ha scambiato i fondi rubati con 103 $ETH, che ora si trovano all'indirizzo: 0x0F21…4066. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 17 dicembre 2025

Gli hacker hanno sfruttato un vault Yearn obsoleto collegato a TrueUSD, noto come "iearn TUSD vault", che è ancora utilizzato su Ether nonostante sia stato sostituito da versioni più recenti. Un difetto di configurazione ha aiutato gli aggressori a manipolare i prezzi delle azioni attraverso diverse transazioni.

La configurazione errata del vault di Yearn Finance ha innescato la manipolazione dei prezzi 

Secondo un'analisi condotta da Weilin Li, ricercatore di criptovalute pseudonimo e laureato presso l'Università di Scienza e Tecnologia della Cina, il caveau ha configurato una delle sue strategie come caveau Fulcrum sUSD e ha calcolato il prezzo delle sue azioni utilizzando solo il saldo sUSD depositato.

Ciò ha aperto la strada ai cosiddetti "attacchi di donazione", in cui un aggressore trasferisce asset direttamente in un caveau per distorcere le metriche contabili. Dopo aver inviato token Fulcrum sUSD nel caveau Yearn TUSD, gli aggressori sono stati in grado di gonfiare artificialmente il prezzo delle azioni del caveau.

Il problema è stato aggravato da una funzione di ribilanciamento che preleva tutti gli asset sottostanti in sUSD, un asset non incluso nei calcoli del prezzo delle azioni del vault. Quando è iniziato il ribilanciamento, il prezzo delle azioni del vault è crollato bruscamente, creando uno "shock dei prezzi".

Secondo lo snapshot Etherscan di PeckShield Alert, l'attaccante ha eseguito prestiti flash sequenziali, prendendo in prestito inizialmente ingenti quantità di TUSD e sUSD senza alcuna garanzia iniziale. Ha poi depositato sUSD per coniare token sUSD Fulcrum, prima di depositare TUSD nel caveau TUSD di Yearn. 

A quel punto, tutti gli asset sottostanti del caveau TUSD erano costituiti da token sUSD di Fulcrum. Lo sfruttatore si è ritirato dal caveau TUSD di Yearn e ha attivato la funzione di ribilanciamento, costringendo Fulcrum a riscattare tutto in sUSD. Poiché sUSD è stato escluso dai calcoli del prezzo delle azioni, la contabilità del caveau è crollata, portando di fatto il prezzo delle azioni verso lo zero.

L'aggressore ha quindi trasferito una piccola quantità di TUSD nel caveau, spingendo il prezzo delle azioni a livelli estremamente bassi, e ha coniato un numero sproporzionato di token Yearn TUSD a un costo minimo. Alla fine ha conteggiato i guadagni vendendo i token Yearn TUSD acquisiti a basso costo sui pool Curve,tracvalore dai fornitori di liquidità prima di rimborsare i prestiti flash.

Yearn Finance riassume le vulnerabilità del 2023, racconta un ricercatore

Il ricercatore Li ha scoperto che l'exploit era simile a un attacco effettuato nel 2023, che ha causato perdite superiori a 10 milioni di dollari. IltracyUSDT immutabile preso di mira in quel precedentedent è stato implementato più di tre anni fa, durante i primi giorni di iearn, quando il defunto Andre Cronje guidava il protocollo.

Solo per aggiungere, questo è esattamente lo stesso vettore di attacco dell'ultima volta: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

— Weilin (William) Li (@hklst4r) 16 dicembre 2025

Gli analisti della sicurezza pessimisti avevano lanciato un avviso sulla vulnerabilità sui social media prima dell'attacco, ma poiché gli smarttracimmutabili non possono essere corretti o sospesi una volta implementati, era inevitabile.

 "iearn finance, Smoothswap, fate attenzione. Questo indirizzo 0x5bac20…ed8e9cdfe0 ha ricevuto 10 ETH da Tornado e distribuiscetraccon flashloans utilizzando i vostri indirizzi", ha scritto Nikiti Kirillov di PS.

Un Yearn, dei suoi attuali contrattitracsicurezza hanno rivelato che ci sono voluti 1.156 giorni prima che il DeFi individuasse una vulnerabilità multimilionaria.

Iltractoken Yearn yUSDT ha generato rendimenti da un paniere di posizioni redditizie, inclusi depositi in USDT su Aave, Compound, dYdX e Fulcrum di BzX. Dal lancio, tuttavia, yUSDT conteneva un errore di copia e incolla che faceva riferimento all'indirizzo Fulcrum USDC anziché altracFulcrum USDT. 

Utilizzando solo 10.000 USDT, gli hacker sono riusciti a coniare circa 1,2 quadrilioni di yUSDT, sottraendo valore al sistema prima cash.

L'dent si verifica meno di una settimana dopo che Cryptopolitan ha segnalato un prelievo di 2,7 milioni di dollari da un vecchio contrattotraca Ribbon Finance, la versione rinominata di Aevo. Tale attacco ha coinvolto interazioni ripetute con un contratto di amministrazione proxytrac0x9D7b…8ae6B76. L'attaccante ha invocato funzioni come transferOwnership e setImplementation per manipolare i proxy dei feed di prezzo tramite chiamate delegate.