Взлом хранилища Yearn TUSD, ранее доступного для пользователей Yearn Finance V1.

В устаревшей версии протокола децентрализованных финансов Yearn произошла уязвимость, что вновь вызвало опасения по поводу неправильно настроенных и неизменяемых смарт-trac, которые хранили средства в сети спустя годы после того, как были признаны устаревшими.

В среду в сообщении на X компания PeckShield, занимающаяся информационной безопасностью, сообщила, что взлом, осуществленный YearnFinanceV1, привел к убыткам в размере около 300 000 долларов. Согласно изображениям Etherscan, предоставленным компанией, украденные средства были конвертированы в 103 Ether и теперь находятся по адресу 0x0F21…4066.

#PeckShieldAlert YearnFinanceV1 @yearnfi подверглась атаке, в результате которой был нанесен общий ущерб в размере около 300 000 долларов.

Злоумышленник обменял украденные средства на 103 $ETH, которые теперь находятся по адресу: 0x0F21…4066. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 17 декабря 2025 г.

Хакеры воспользовались устаревшим хранилищем Yearn, связанным с TrueUSD, известным как «хранилище iearn TUSD», которое до сих пор используется в Ether, несмотря на то, что было заменено более новыми версиями. Уязвимость в конфигурации позволила злоумышленникам манипулировать ценами акций посредством ряда транзакций.

Неправильная настройка хранилища в Yearn Finance привела к манипулированию ценами. 

Согласно анализу анонимного криптоисследователя и выпускника Китайского университета науки и технологий Вэйлиня Ли, хранилище настроило одну из своих стратегий как хранилище Fulcrum sUSD и рассчитывало цену своей доли, используя только внесенный баланс sUSD.

Это открыло двери для так называемых «атак с помощью пожертвований», когда злоумышленник переводит активы непосредственно в хранилище, чтобы исказить бухгалтерские показатели. После отправки токенов Fulcrum sUSD в хранилище Yearn TUSD злоумышленники смогли искусственно завысить заявленную цену акций в хранилище.

Проблема усугубилась функцией ребалансировки, которая выводит все базовые активы в sUSD, активах, не включенных в расчеты стоимости акций хранилища. После начала ребалансировки стоимость акций хранилища резко упала, вызвав «ценовой шок».

Согласно данным Etherscan от PeckShield Alert, злоумышленник осуществил последовательные мгновенные займы, сначала взяв в долг крупные суммы TUSD и sUSD без предварительного залога. Затем он внес sUSD для создания токенов Fulcrum sUSD, после чего поместил TUSD в хранилище Yearn TUSD. 

На этом этапе все базовые активы хранилища TUSD состояли из токенов Fulcrum sUSD. Злоумышленник вывел средства из хранилища Yearn TUSD и вызвал функцию ребалансировки, вынудив Fulcrum обменять все средства на sUSD. Поскольку sUSD были исключены из расчетов цены акций, учет в хранилище рухнул, фактически обрушив цену акций до нуля.

Затем злоумышленник перевел небольшое количество TUSD обратно в хранилище, обвалив цену акций до крайне низкого уровня, и выпустил огромное количество токенов Yearn TUSD с минимальными затратами. В конечном итоге он получил прибыль, продав дешево приобретенные токены Yearn TUSD в пулах Curve,tracвыгоду из поставщиков ликвидности, прежде чем погасить мгновенные займы.

Компания Yearn Finance подвела итоги уязвимости 2023 года, сообщает исследователь.

Исследователь Ли обнаружил, что эта уязвимость была похожа на атаку, совершенную в 2023 году, которая привела к убыткам, превышающим 10 миллионов долларов. НеизменяемыйtracyUSDT, ставший целью того более раннегоdent был развернут более трех лет назад, в первые дни существования iearn, когда протоколом руководил покойный Андре Кронже.

Хочу добавить, что это точно такой же вектор атаки, как и в прошлый раз: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

– Вейлин (Уильям) Ли (@hklst4r), 16 декабря 2025 г.

Пессимистично настроенные аналитики в области безопасности еще до появления уязвимости предупреждали об этом в социальных сетях, но поскольку неизменяемые смарт-tracнельзя исправить или приостановить после развертывания, это было неизбежно.

 «Учитесь финансам, Smoothswap, будьте осторожны. Этот адрес 0x5bac20…ed8e9cdfe0 получил 10 ETH от Tornado и использует ваши адреса для развертыванияtracс помощью флеш-кредитов», — написал Никити Кириллов из PS.

Участник Yearn , известный как storming0x, признал факт атаки и заверил пользователей вtracбезопасности текущих контрактов. Однако, как выяснили наблюдатели Rekt News, DeFi 1156 дней, DeFi чтобы обнаружить многомиллионную уязвимость.

tracна токен Yearn yUSDT генерировал доход от набора доходных позиций, включая депозиты USDT на Aave, Compound, dYdX и Fulcrum от BzX. Однако с момента запуска yUSDT содержал ошибку копирования и вставки, которая ссылалась на адрес USDC Fulcrum вместоtracFulcrum USDT. 

Используя всего 10 000 USDT, хакерам удалось выпустить криптовалюту на сумму приблизительно 1,2 квадриллиона yUSDT, выкачав средства из системы, прежде чем cashих.

Инцидент с Yearndent менее чем через неделю после того, как Cryptopolitan сообщила о хищении 2,7 миллионов долларов из старого контракта,tracRibbon Finance, переименованной версии Aevo. Эта атака включала в себя многократное взаимодействие с контрактом администратора прокси-сервераtracадресу 0x9D7b…8ae6B76. Злоумышленник вызывал такие функции, как transferOwnership и setImplementation, для манипулирования прокси-серверами, передающими ценовые данные, посредством вызовов делегатов.