Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Yield Yak segue Gitcoin nell'ultimo attacco volto a svuotare i portafogli digitali
- L'azienda di sicurezza blockchain Blockaid ha rilevato un attacco hacker al front-end del sottodominio di voto di Yield Yak, in cui gli aggressori hanno iniettato lo script Eleven drainer, in grado di rubare i fondi dai portafogli digitali.
- L'attacco ricalca una recente violazione subita da Gitcoin, suggerendo una tendenza crescente degli hacker a prendere di mira i sottodomini delle piattaforme di criptovalute piuttosto chetracintelligenti principali.
- Non sono state rilasciate cifre certe sulle perdite, ma gli utenti che hanno collegato i propri portafogli al sito compromesso potrebbero essere stati esposti a transazioni non autorizzate.
Il 24 giugno 2026, Blockaid, società specializzata in sicurezza informatica per la blockchain, ha rilevato un attacco hacker al front-end del sito web di Yield Yak, piattaforma di aggregazione di rendimenti per la finanza decentralizzata (DeFi). Secondo Blockaid, il front-end del sito di Yield Yak è stato compromesso da script dannosi volti a svuotare i wallet. Si tratta del secondo attacco di questo tipo in pochi giorni contro una delle principali piattaforme di scambio di criptovalute e rappresenta l'ultimo episodio della recente tendenza agli attacchi al front-end che prendono di mira le principali piattaforme di criptovalute.
Secondo il processo di rilevamento di Blockaid, il sottodominio vote.yieldyak.com è stato compromesso con un codice proveniente da un software chiamato "Eleven drainer". Il wallet drainer è un tipo di script dannoso che induce gli utenti a inviare i propri asset digitali a un malintenzionato tramite transazioni da loro approvate. Il codice dannoso forza l'approvazione delle azioni o invia asset a un malintenzionato nell'istante stesso in cui gli utenti collegano i propri wallet, spesso prima ancora che si rendano conto di cosa stiano facendo. Né Blockaid né Yield Yak hanno fornito informazioni sull'entità delle perdite subite a causa dell'attacco al momento della pubblicazione.
L'attaccante utilizza uno schema di gioco classic
L'attacco hacker a Yield Yak presenta analogie con la vulnerabilità individuata su Gitcoin, una piattaforma di finanziamento open source, solo pochi giorni fa. Secondo quanto riportato da Blockaid il 21 giugno, files.gitcoin.co, un sottodominio di Gitcoin, conteneva lo stesso codice di Eleven e avvertiva gli utenti di tenersi alla larga dalla piattaforma poiché era in fase di verifica. Blockaid ha collegato direttamente i due attacchi, sottolineando che quello a Yield Yak "segue l'incidente di ierident Gitcoin, che ha operato in modo simile".
🚨Il sistema di Blockaid hadentun attacco front-end su yieldyak[.]com da parte di @yieldyak_. Il sottodominio del sito – vote[.]yieldyak[.]com ora contiene il codice di eleven drainer.
— Blockaid (@blockaid_) 24 giugno 2026
di ierident su @gitcoin che ha operato in modo simile pic.twitter.com/YFmWEYfa7D
In entrambi i casi, sono stati compromessi i sottodomini anziché le interfacce principali dell'applicazione. Il prodotto principale di Yield Yak, un protocollo di yield farming con capitalizzazione automatica basato su Avalanche, viene eseguito sul dominio principale. Il sottodominio di voto compromesso sembra essere un punto di accesso secondario, ma chiunque vi accedesse avrebbe corso il rischio di vedersi svuotare il portafoglio.
La mancanza di defisulle perdite non significa necessariamente conseguenze minime. Le vulnerabilità del front-end solitamente richiedono ore o addirittura giorni di indagine da parte dei team di sicurezza perdentle interazioni tra i wallet e verificare se gli utenti hanno eseguito transazioni dannose. In altri casi di furto di fondi quest'anno, le perdite sono variate da diverse migliaia di dollari a milioni di dollari, a seconda del numero di persone che collegavano i wallet prima che il codice dannoso venisse eliminato. Ad esempio, in uno degli incidenti monitorati da Blockaiddentgli hacker hanno sottratto circa 3,2 milioni di dollari da 86 wallet Safe sfruttando una vulnerabilità in un modulo di terze parti. Il secondo esempio è lo sfruttamento del fornitore di liquidità TrustedVolumes, che ha causato perdite per 5,9 milioni di dollari.
Picco negli attacchi front-end
Gli attacchi hacker a Yield Yak e Gitcoin menzionati fanno parte di una tendenza più ampia che ha scosso la comunità delle criptovalute quest'anno. Gli attacchi front-end, in cui un malintenzionato sfrutta il sito web di un progetto senza influenzare gli smarttrac, hanno registrato un aumento di frequenza sulle principali piattaforme DeFi .
All'inizio dell'anno, OpenEden, Curvance e Maple Finance hanno subito attacchi front-end in una sola settimana, a febbraio. Questi attacchi hanno utilizzato un toolkit di drainer diverso, chiamato AngelFerno, ma hanno seguito lo stesso metodo: ottenere l'accesso all'infrastruttura web di un progetto, inserire codice che dirotta le connessioni dei wallet e attendere che gli utenti interagiscano.
Nell'aprile del 2026, Blockaid ha documentato un modello ancora più aggressivo. In seguito a gravi attacchi informatici contro Drift Protocol, KelpDAOe altre piattaforme, gli operatori di drainer hanno creato domini simili in poche ore per intercettare gli utenti in preda al panico che cercavano un modo per revocare l'approvazione dei token. L'azienda ha definito l'aprile del 2026 "il peggior mese di sempre per i furti di criptovalute", citando oltre 629 milioni di dollari sottratti in più di 20dent.
Cosa devono sapere gli utenti di Yield Yak
Secondo la sua quotazione su Alchemy, Yield Yak è un protocollo DeFi su Avalanche che capitalizza automaticamente i profitti derivanti dallo yield farming e gestisce un aggregatore di exchange decentralizzato. Gli utenti che hanno depositato asset tramite gli smarttracdella piattaforma principale non sono direttamente interessati da una compromissione del front-end, poiché itracsottostanti rimangono invariati. Il rischio si applica a chiunque abbia visitato il sottodominio compromesso e collegato un wallet o firmato una transazione.
Al momento della pubblicazione, né Yield Yak né Gitcoin avevano rilasciato dichiarazioni pubbliche sullo stato di avanzamento delle attività di risoluzione dei rispettivident. Nessuna società di sicurezza o investigatore blockchain ha segnalato pubblicamente perdite confermate legate alla violazione di Yield Yak e al momento non vi sono prove on-chain che indichino l'entità di un potenziale furto. Blockaid ha consigliato agli utenti di non interagire con i siti web interessati, in quanto il problema è oggetto di indagine e risoluzione.
Gli utenti che sospettano di aver interagito con vote.yieldyak.com dovrebbero revocare tutte le autorizzazioni di token concesse durante la sessione utilizzando uno strumento affidabile e monitorare i propri portafogli per individuare eventuali trasferimenti non autorizzati.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Domande frequenti
Che fine ha fatto il sito web di Yield Yak?
Secondo l'avviso emesso da Blockaid su X il 24 giugno 2026, la società di sicurezza Blockaid ha rilevato che il sottodominio vote.yieldyak.com di Yield Yak era stato infettato con il codice malevolo "Eleven drainer", progettato per rubare criptovalute quando gli utenti collegavano i propri portafogli.
Eleven Drainer è lo stesso malware che ha colpito Gitcoin?
Sì. Blockaid ha confermato che l'attacco Yield Yak ha utilizzato lo stesso codice di drenaggio di Eleven trovato sul sottodominio files.gitcoin.co di Gitcoin tre giorni prima, e ha affermato che i duedenthanno operato in modo simile.
Itracintelligenti e i fondi depositati su Yield Yak sono interessati?
Gli attacchi front-end prendono di mira il sito web di un progetto, non i suoi smarttrac. Gli utenti che non hanno visitato o interagito con il sottodominio compromesso non sono direttamente a rischio, ma chiunque abbia collegato un wallet a vote.yieldyak.com dovrebbe revocare le autorizzazioni dei token e verificare la presenza di transazioni non autorizzate.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Ashish Kumar
Ashish Kumar è un giornalista specializzato in criptovalute e finanza con otto anni di esperienza in redazione. Si occupa di mercati delle criptovalute, regolamentazione, DeFied ecosistemi di scambio. Ha collaborato con Coingape, Todayq e Newsroompost. Ashish ha conseguito un PGDP (Postgraduate Diploma in Journalism) in lingua inglese presso l'IIMC (Indian Institute of Management and Communications). Ha inoltre intervistato personalità di spicco del settore, tra cui Arthur Hayes, Yat Siu, Austin Federa e molti altri.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)