Yield Yak, вслед за Gitcoin, проводит очередную атаку, истощающую кошельки пользователей

Компания Blockaid, специализирующаяся на кибербезопасности блокчейна, 24 июня 2026 года обнаружила взлом интерфейса сайта децентрализованной финансовой (DeFi) платформы агрегирования доходности Yield Yak. По данным Blockaid, интерфейс сайта Yield Yak был скомпрометирован вредоносными скриптами, предназначенными для опустошения кошельков. Это уже второй случай за последние дни, когда подобная атака была совершена на крупную криптовалютную биржу, и это последнее дополнение к недавней тенденции взломов интерфейсов, направленных на крупные криптовалютные платформы.

Согласно обнаружению Blockaid, поддомен vote.yieldyak.com был взломан с помощью кода из программы под названием «Eleven drainer». Wallet drainer — это тип вредоносного скрипта, который обманом заставляет пользователей отправлять свои цифровые активы злоумышленнику посредством транзакций, одобренных пользователями. Вредоносный код заставляет пользователей подтверждать действия или отправляет активы злоумышленнику в тот самый момент, когда они подключают свои кошельки, и часто еще до того, как они поймут, что делают. Ни Blockaid, ни Yield Yak не предоставили информацию о размере ущерба, понесенного в результате взлома на момент публикации.

Нападающий использует classic тактику

Взлом Yield Yak напоминает уязвимость, обнаруженную несколько дней назад на Gitcoin, платформе для финансирования проектов с открытым исходным кодом. По данным Blockaid от 21 июня, на поддомене Gitcoin files.gitcoin.co был обнаружен тот же код Eleven drainer, и система предупреждала пользователей держаться подальше от платформы, поскольку она находилась на стадии проверки. Blockaid напрямую связала два взлома, отметив, что атака на Yield Yak «следует за вчерашним инцидентомdent Gitcoin, который действовал аналогичным образом».

🚨Система Blockaid выявилаdentна сайт yieldyak[.]com со стороны @yieldyak_. Поддомен сайта – vote[.]yieldyak[.]com – теперь содержит код уязвимости «одиннадцать».

Это произошло после вчерашнего инцидентаdent @gitcoin , который действовал аналогичным образом. pic.twitter.com/YFmWEYfa7D

— Blockaid (@blockaid_) 24 июня 2026 г

В обоих случаях были скомпрометированы не основные интерфейсы приложения, а поддомены. Основной продукт Yield Yak, протокол автоматического начисления процентов на Avalanche, работает на основном домене. Скомпрометированный поддомен для голосования, похоже, является вторичной точкой входа, но любой, кто получит к нему доступ, рискует лишиться своих средств.

Отсутствие defiданных о потерях не всегда означает минимальные последствия. Расследование уязвимостей на стороне клиента обычно занимает часы или даже дни, в течение которых группы безопасности выявляютdentмежду кошельками и проверяют, совершали ли пользователи вредоносные транзакции. В других случаях хищения средств в этом году потери варьировались от нескольких тысяч до миллионов долларов в зависимости от количества людей, подключающих кошельки, до удаления вредоносного кода. Например, в одном из инцидентов, отслеживаемых Blockaiddentхакеры в мае похитили около 3,2 миллиона долларов из 86 кошельков Safe, используя уязвимость стороннего модуля. Второй пример — эксплуатация провайдера ликвидности TrustedVolumes, которая привела к потерям в размере 5,9 миллиона долларов.

Резкий рост числа атак на внешний интерфейс

Упомянутые взломы Yield Yak и Gitcoin являются частью более масштабной тенденции, которая потрясла криптовалютное сообщество в этом году. Атаки на стороне клиента, когда злоумышленник использует уязвимость веб-сайта проекта, не затрагивая смарт-trac, участились на основных платформах DeFi .

Ранее в этом году, в феврале, OpenEden, Curvance и Maple Finance подверглись атакам на свои веб-интерфейсы в течение одной недели. В этих атаках использовался другой набор инструментов для перехвата транзакций под названием AngelFerno, но метод был одинаковым: получить доступ к веб-инфраструктуре проекта, внедрить код, перехватывающий соединения с кошельками, и ждать взаимодействия с пользователями.

В апреле 2026 года компания Blockaid задокументировала еще более агрессивную схему действий. После громких атак на Drift Protocol, KelpDAOи другие платформы, операторы, занимающиеся хищением криптовалюты, в течение нескольких часов создавали похожие домены для перехвата паникующих пользователей, ищущих способы отозвать одобрение токенов. Компания назвала апрель 2026 года «худшим месяцем по краже криптовалюты за всю историю», указав на хищение более 629 миллионов долларов в результате более чем 20dent.

Что должны знать пользователи Yield Yak

Yield Yak — это протокол DeFi на Avalanche , который автоматически начисляет вознаграждения за фарминг прибыли и управляет децентрализованным агрегатором бирж, согласно его листингу на Alchemy. Пользователи, которые внесли активы через смарт-tracосновной платформы, напрямую не затронуты взломом фронтенда, поскольку базовыеtracостаются неизменными. Риск распространяется на всех, кто посетил скомпрометированный субдомен и подключил кошелек или подписал транзакцию.

На момент публикации ни Yield Yak, ни Gitcoin не сделали публичных заявлений о ходе устраненияdent. Ни одна компания по обеспечению безопасности или исследователь блокчейна не сообщали публично о подтвержденных потерях, связанных с взломом Yield Yak, и в настоящее время нет никаких данных в блокчейне, указывающих на масштабы потенциальных краж. Blockaid рекомендовал пользователям воздержаться от взаимодействия с затронутыми веб-сайтами, пока проблема расследуется и устраняется.

Пользователям, которые подозревают, что взаимодействовали с vote.yieldyak.com, следует отозвать все одобрения токенов, предоставленные во время сессии, используя надежный инструмент, и отслеживать свои кошельки на предмет несанкционированных переводов.