Yearn Finance, 900만 달러 해킹 피해 복구 시작, 예금자에게 239만 달러 반환

Yearn Finance는 11월 30일에 yETH 스테이블스왑 풀에서 900만 달러 규모의 공격이 발생하여 도난당한 자금에 대한 복구 절차를 시작했습니다.

DeFi 프로토콜은 239만 달러 상당의 자산을 성공적으로 회수했으며, 해당 자산은 피해를 입은 예금자에게 반환될 것이라고 발표했습니다.

보도에 따르면 Cryptopolitan의 영향을 받지 않았dent 으며 사용자에게 안전하게 제공되고 있다고 확인했습니다.

Yearn Finance는 공동 노력으로 239만 달러를 회수했습니다.

해당 프로토콜은 Plume 및 Dinero 팀과의 협력을 통해 239만 달러 상당의 857.49 pxETH를 회수했다고 발표했습니다. Yearn Finance는 회수 절차가 아직 진행 중이며, 회수된 다른 자산은 피해를 입은 예금자에게 반환될 것이라고 밝혔습니다.

이번 회수 작전은 최초 공격 발생 후 며칠 만에 시작되었습니다. SEAL911과 감사 파트너인 ChainSecurity가 참여하는 작전실은 전체 사후 조사가 진행되는 동안에도 여전히 운영되고 있습니다. 보안 대응에는 도난당한 자산의 이동 경로를 trac하고 추가 손실을 방지하기 위한 노력이 포함됩니다.

yETH 업데이트: Plume 및 Dinero 팀의 도움으로 857.49pxETH(239만 달러)의 공동 회수가 이루어졌습니다. 회수 작업은 여전히 ​​활발하게 진행 중입니다. 성공적으로 회수된 자산은 해당 예금자에게 반환될 예정입니다.https://t.co/xaClNhd0C0

— yearn (@yearnfi) 2025년 12월 1일

900만 달러 규모의 악용 사례 분석

두 풀은 총 약 900만 달러의 손실을 입었습니다. 가장 큰 타격을 입은 것은 스테이블스왑 풀로, 약 800만 달러의 손실을 입었습니다. 커브(Curve) 또한 yETH-WETH 스테이블스왑에서 90만 달러의 추가 손실을 입으면서 큰 타격을 입었습니다.

공격자는 대량의 yETH 토큰을 생성할 수 있는 취약점을 악용했습니다. Yearn Finance의 초기 분석에 따르면, 해커는 필요한 담보를 제공하지 않고 약 235조 yETH를 생성했습니다.

공격자는 부풀려진 토큰 잔액을 이용해 뒷받침되지 않은 yETH를 stableswap 풀의 stETH, rETH, cbETH와 같은 합법적인 유동적 스테이킹 자산과 Curve 풀의 래핑된 Ethereum 으로 교환할 수 있었습니다.

레거시 풀 취약점 노출

이trac은 인기 있는 스테이블스왑 코드 중 하나를 맞춤 제작한 것이며, Yearn Finance의 다른 제품들과는dent 였습니다. 해당 프로토콜은 다른 Yearn 제품이 공격으로 손상된 코드와 유사한 코드를 사용하지 않는다고 강조했습니다.

이 취약점은 yETH 토큰과 관련된 오래된 레거시trac과 관련이 있었습니다. 이를 통해 공격자는 필요한 담보 없이 새로운 토큰을 발행할 수 있었으며, 사실상 무에서 유를 창조하는 셈이었습니다.

Yearn Finance는 초기 분석 결과 이번 해킹 사건의 복잡성이 최근 Balancer 공격 사건. yETH 스테이블스왑 풀은 Yearn V2 및 V3의 주요 볼트 인프라에 연결되지 않았기 때문에 해킹 사건을 격리하고 핵심 제품으로의 확산을 차단할 수 있었습니다.

공격자는 믹서를 통해 자금을 세탁합니다.

공격자는 공격 후 몇 시간 만에 흔적을 감추기 위해 훔친 자산을 옮기기 시작했습니다. 이후 약 300만 달러 상당의 약 1,000 ETH가 암호화폐 믹싱 서비스인 토네이도 캐시(Tornado Cash로 이체되었습니다.

12월 1일 기준으로, 약 600만 달러 상당의 도난 자금이 공격자 지갑 주소 0xa80d.c822에 남아 있었습니다. 나머지 자금은 주로 아직 자금 세탁되지 않은 스테이킹된 ETH 파생상품으로 구성되었습니다.

Yearn Finance 팀은 자사 볼트의 핵심 제품이 이 취약점에 취약하지 않다는 명확한 성명을 발표했습니다. V2 및 V3 볼트는 별도의 스마트trac에 속하며, 영향을 받은 레거시 풀의 코드베이스와 다릅니다.

Yearn V2 및 V3 금고에 자금을 보유한 사용자는 아무런 조치를 취할 필요가 없었습니다. 프로토콜에 따르면 11월 30일에 발생한dent 는 특정 yETH 스테이블스왑 풀의 예금자에게만 영향을 미쳤습니다.

11월 암호화폐 보안dent

Yearn Finance 해킹 사건은 암호화폐 보안에 있어 힘든 한 달을 마무리했습니다. 2025년 11월에는 여러 유명 플랫폼과 프로토콜에서 약 2억 달러의 손실이 발생했습니다.

이달 최대 규모의denttractrac tractractractrac tractrac또한, 한국 거래소 업비트는 핫월렛 해킹으로 3천만 달러에서 3천8백만 달러 사이의 손실을 입었습니다.

11월에 발생한 다른dentGANA Payment의 310만 달러 규모의 스마트trac인수와 Hyperliquid의 가격 조작으로 인한 약 500만 달러의 손실이 있습니다.