Пул yETH компании Yearn Finance был опустошен из-за взлома ликвидного стейкинга на сумму 3 млн долларов

Популярный DeFi протокол Yearn Finance стал последней жертвой атаки, в ходе которой злоумышленник похитил ETH на сумму около 3 миллионов долларов из его хранилища yETH. 

Уязвимость который была направлена ​​на токен индекса ликвидного стейкинга протокола, yETH, что позволило хакеру создать почти бесконечное количество токенов и опустошить пул за одну транзакцию. Согласно анализу блокчейна, злоумышленник использовал уязвимость в смарт-контракте yETHtracобъединяет эти токены ликвидного стейкинга в торгуемый индексный токен.

В публикации на X Yearn подтвердил, что эксплойт был локализован в пуле yETH, а другие его хранилища (V2 и V3) остались нетронутыми. Блокчейн-аналитики внимательно следят за сетью, чтобы выявить дальнейшую подозрительную активность. Это один из способов, при которых одна ошибка в сложном DeFi продукте может привести к значительным потерям.

На данном этапе полный масштаб потерь всё ещё оценивается. Хотя видимый объём потерь составил около 3 миллионов долларов, пулы ликвидности, обеспечивающие позиции многих пользователей, также могли пострадать.

Yearn принимает меры после взлома yETH и защищает хранилища

Компания Yearn Finance подтвердила, что её хранилище yETH было взломано, хотя пострадал только пул стейблкоинов LST, а никакая другая часть кода не была взломана. Компания приложила все усилия, чтобы заверить своих клиентов, что её основные хранилища (V2 и V3) по-прежнему на 100% защищены и что атака не затронула их.

Команда Yearn заявляет, что проводит тщательное внутреннее расследование, чтобы точно определить, как была реализована эксплойтная атака и были ли затронуты какие-либо другие активы. Это включает в себя аудит фрагментов кода, мониторинг ончейн-транзакций и сотрудничество со специалистами по безопасности, чтобы гарантировать, что никакие другие ошибки не останутся незамеченными.

О взломе впервые сообщил пользователь X Togbe, который заметил предполагаемую атаку во время мониторинга крупных переводов. «Переводы в сети указывают на то, что yETH super mint позволил злоумышленнику опустошить пул, получив прибыль в размере 1000 ETH», — написал Togbe в сообщении. «Каким-то образом были принесены в жертву другие ETH, но они все равно получили прибыль».

Утечка служит важным напоминанием о рисках, которые могут присутствовать в DeFi, в том числе для протоколов с безупречной репутацией и историей предыдущих аудитов. Реакция Yearn, характеризующаяся открытостью для общественности, активным мониторингом развития событий и приверженностью аудиту, соответствует протоколу, который ставит безопасность пользователей на первое место при принятии решений, продолжая при этом изучать все аспекты, связанные с DeFi.

Протоколы DeFi сталкиваются с растущими угрозами со стороны хакеров

Атака на пул Yearn Finance yETH — не единичный случай. Онаmatic для более масштабной, экспоненциально растущей тенденции, которая представляет собой экзистенциальную угрозу для экосистемы децентрализованных финансов (DeFi).

Как недавно сообщило издание Cryptopolitan, в ноябре 2025 года в этой сфере из-за взломов, мошенничества и уязвимостей было потеряно около 127 миллионов долларов. По мнению экспертов, наибольшей угрозой для DeFitractrac tractractractrac tractracнедостатками в коде

Атака yETH — пример того, что даже часто используемые и проверенные платформы не являются неуязвимыми. Протоколы, включающие протоколы, с богатым набором инструментов, такими как Liquid Staking, Auto Token-Indexing и Aggregate Quotations, потенциально могут расширить поверхность атаки, позволяя со временем более изощрённым взломщикам атаковать протоколы.

Такие системы, разработанные с целью сделать их максимально эффективными и скрытными для потенциальных клиентов, могут также непреднамеренно создавать дверные проемы, которые даже плохие парни уже заметят.

По словам экспертов по безопасности, последние атаки были схожими. Хакеры теперь используют всё более изощрённые и многошаговые схемы, используя невероятно гибкие, заранее спланированные действия с помощью самоуничтожающихся смарт-trac. Эти самоуничтожающиеся смарт-tracиспользуются для перевода украденных средств через миксеры, ориентированные на конфиденциальность, такие как Tornado Cash.