DeFi-проєкт Yearn Finance зламали на $9 млн
30 листопада невідомі атакували протокол Yearn Finance. Загальні збитки становили $9 млн, зазначили фахівці з блокчейн-безпеки PeckShield.
#PeckShieldAlert Yearn Finance @yearnfi suffered an attack resulting in a total loss of ~$9M.
The exploit involved minting a near-infinite number of yETH tokens, depleting the pool in a single transaction.
~1K $ETH (worth ~$3M) was sent to #TornadoCash, while the exploiter’s… pic.twitter.com/IXNygpwoWa
— PeckShieldAlert (@PeckShieldAlert) December 1, 2025
Деталі
Команда проєкту підтвердила факт зламу, наголосивши, що причиною стала вразливість у коді продукту Yearn Ether (yETH).
At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.
— yearn (@yearnfi) December 1, 2025
За даними PeckShield, зловмисники створили майже нескінченну кількість монет, спорожнивши весь пул однією транзакцією на 1000 ETH (~$3 млн).
Викрадені кошти хакери одразу відправили до криптоміксера Tornado Cash.
За словами розробників Yearn, уражений контракт — кастомна версія популярного коду stableswap, не пов’язана з іншими продуктами протоколу. Yearn V2/V3 залишаються в безпеці, підкреслили вони.
Попередні дані вказали на втрату $8 млн із ураженого пулу stableswap і $0,9 млн із пулу yETH-WETH на Curve.
«Первинний аналіз показав, що за рівнем складності злам схожий на недавній експлойт Balancer, тому, будь ласка, проявіть терпіння, поки ми проводимо аналіз. Жоден інший продукт Yearn не використовує код, аналогічний тому, який було уражено», — додала команда проєкту.
Вплив
На тлі інциденту токен Yearn — YFI — просів на 5,5%. На момент написання актив торгується близько $3900 за капіталізації на рівні $132,6 млн.
TVL протоколу знизився з $432 млн до $410 за останню добу. На піку в листопаді 2021 року показник становив $6,7 млрд.
Останній інцидент — не перший випадок зламу Yearn. У 2021 році невідомий вивів $2,8 млн з пулу v1 yDAI. Проєкт оперативно відшкодував втрати постраждалим користувачам.
У грудні 2023 року внаслідок «помилкового сценарію» мультисиг-транзакції протокол втратив 63% казначейських коштів у пулі Lp yCRV. Інцидент стався під час «звичайного процесу конвертації токенів комісій» і призвів до обміну 3 794 894 yCRV на 779 958 yvDAI. Команда уточнила, що збитки склали $1,4 млн.
Нагадаємо, 27 листопада найбільша південнокорейська біткоїн-біржа Upbit призупинила виведення коштів через атаку, внаслідок якої хакери викрали активи на $36,8 млн.