24 июня 2026 года компания по кибербезопасности Blockaid выявила взлом внешнего интерфейса DeFi-платформы Yield Yak на Avalanche. Вредоносный код, классифицированный как «Eleven drainer», был обнаружен на поддомене vote.yieldyak.com. Он предназначен для кражи цифровых активов: при подключении кошелька скрипт подменяет транзакции и вынуждает пользователя одобрить перевод средств злоумышленнику.
Это уже второй подобный инцидент за несколько дней — ранее, 21 июня, такой же код был найден на поддомене files.gitcoin.co платформы Gitcoin. По данным Blockaid, атаки проведены по схожему сценарию: скомпрометированы не основные домены, а второстепенные точки входа, что позволяет обходить защиту смарт-контрактов и бить по доверию пользователей к привычному интерфейсу.
На момент публикации ни Blockaid, ни Yield Yak не сообщили о зафиксированных потерях. Расследование продолжается, но отсутствие цифр не гарантирует отсутствия ущерба — в этом году дрейнеры уже уносили от тысяч до миллионов долларов. Например, в мае через уязвимость стороннего модуля хакеры вывели $3,2 млн из 86 кошельков Safe, а эксплуатация TrustedVolumes привела к убыткам в $5,9 млн.
Случай с Yield Yak — часть пугающей тенденции. В феврале за одну неделю жертвами фронтенд-атак с применением инструмента AngelFerno стали OpenEden, Curvance и Maple Finance. А апрель 2026 года Blockaid назвал «худшим месяцем в истории криптокраж»: более $629 млн было похищено в ходе свыше 20 инцидентов, включая Drift Protocol и KelpDAO. Тогда же злоумышленники начали оперативно создавать фишинговые копии доменов, чтобы перехватывать пользователей, пытающихся отозвать разрешения.
Основной протокол Yield Yak (автокомпаундирующий агрегатор доходности на Avalanche) не затронут, однако все посетители vote.yieldyak.com, подключавшие кошельки или подписывавшие транзакции в период активности скрипта, находятся в зоне риска. Специалисты рекомендуют не взаимодействовать с подозрительными страницами, отозвать все выданные разрешения и отслеживать подозрительные переводы.
