Децентрализованный финансовый протокол Yearn Finance опубликовал детальный отчёт о расследовании взлома своего продукта yETH, произошедшего 30 ноября 2025 года, и объявил о частичном возмещении средств пострадавшим пользователям. Общий ущерб от атаки оценивается примерно в $9 млн.
Техническая суть инцидента заключалась в эксплуатации числовой уязвимости в унаследованном stableswap-пуле, связанном с yETH. Злоумышленник, используя «чрезвычайно несбалансированные» депозиты, вывел внутренний решатель (solver) пула за пределы расчётного диапазона. Это привело к обнулению ключевого внутреннего параметра (Π) и нарушению инварианта взвешенного stableswap, что позволило атакующему сгенерировать практически неограниченное количество LP-токенов. Впоследствии эти токены были использованы для вывода ликвидности.
Атака развивалась в три этапа и в итоге позволила злоумышленнику осуществить так называемый «бесконечный минт» (infinite mint), с помощью которого был опустошён связанный пул yETH/ETH на Curve. Протокол подчеркнул, что его основные продукты — v2 и v3 vaults — не пострадали, удар пришёлся исключительно на yETH и его прямые интеграции.
Восстановление средств и план действий. Команде Yearn Finance в кооперации с партнёрами по безопасности (SEAL 911, ChainSecurity, Plume, Dinero) удалось отследить и вернуть часть украденных активов. На данный момент восстановлено 857.49 pxETH, что составляет около 25% от общей суммы ущерба (примерно $2.4 млн). Транзакция по возврату была выполнена 1 декабря.
Восстановленные средства будут распределены между держателями yETH пропорционально их балансам на момент, непосредственно предшествующий взлому. Протокол заявил, что любые дополнительные средства, которые удастся вернуть в будущем, также будут направлены пострадавшим пользователям. При этом Yearn Finance напомнил, что продукт yETH работает под юрисдикцией самоуправления (YIP-72) и содержит пункт «Использование на свой страх и риск», что формально освобождает разработчиков и управление YFI от обязательств по полному возмещению.
План по устранению уязвимостей включает введение явных проверок диапазона для решателя, трактовку условия Π = 0 как критической ошибки, замену небезопасной арифметики на проверяемую в ключевых разделах кода, а также установку жёстких лимитов на выпуск LP-токенов, привязанных к стоимости пользовательских депозитов. Команда также намерена расширить тестирование, включив в него фаззинг, направленный на проверку инвариантов, и дифференциальное тестирование.
Этот инцидент и последующие действия протокола рассматриваются как важный прецедент в индустрии DeFi, демонстрирующий возможность ответственного управления кризисными ситуациями и частичного восстановления средств после взлома.
HYPER
BTC
HBAR
ZKP
XRP
LINK
ONDO
SHIB
BNB