Yearn Finance bekræftede en aktiv udnyttelse, der påvirker deres yETH-produkt, i søndags, efter en angriber mintede en praktisk talt ubegrænset mængde yETH og tømte likviditet fra Balancer pools.
Hændelsen udløste kraftig aktivitet på kæden, inklusiv flere overførsler på 100 ETH gennem Tornado Cash.
infinite-mint angreb dræner likviditet fra balancer pools
Ifølge blockchain-data skete udnyttelsen omkring 21:11 UTC den 30. november, da en skadelig wallet udførte et uendeligt-mint angreb, der skabte cirka 235 billioner yETH i en enkelt transaktion.
Nansens alarmsystem bekræftede senere angrebet og identificerede begivenheden som en uendeligt-mint sårbarhed i yETH token kontrakten, ikke i Yearns Vault infrastruktur.
Angriberen brugte den ny-minted yETH til at tømme reelle aktiver – primært ETH og Liquid Staking Tokens (LSTs) – fra Balancer likviditetspools. Tidlige skøn tyder på, at cirka 2,8 millioner dollars i aktiver blev fjernet.
Omkring 1.000 ETH blev vasket gennem Tornado Cash kort efter angrebet. Flere hjælpekontrakter brugt i udnyttelsen blev implementeret minutter før hændelsen og destruerede sig selv bagefter for at skjule sporet.
Yearn udtalte, at V2 og V3 Vaults ikke blev påvirket, og sårbarheden synes begrænset til den ældre yETH-implementering.
Protokollens Total Value Locked (TVL) forbliver over 600 millioner dollars ifølge CoinGecko, hvilket tyder på, at kerne-systemerne ikke blev kompromitteret.
YFI-kursen steg, da markedet overvandt den indledende panik
Men markedets reaktion skabte en uventet dynamik. Kort efter udnyttelsen blev markeret på sociale medier og af blockchain-analytikere, steg YFI-kursen kraftigt, fra omkring 4.080 dollars til over 4.160 dollars inden for en time.
Bevægelsen kom trods de negative overskrifter omkring det bredere Yearn-økosystem.
Kursreaktionen synes tæt knyttet til markedets misfortolkning i de tidlige minutter af hændelsen. Indledende påstande om en “Yearn-udnyttelse” medførte høj gearing korte positioner på YFI, i betragtning af tokenets tynde likviditet og historisk aggressive nedadgående bevægelser under hackhændelser.
Angrebet var isoleret til yETH og ikke Yearns Vaults, og short-sælgere begyndte at dække deres positioner. Dette udløste en kortvarig short squeeze og en volatilitetdrevet kursstigning.
YFI’s cirkulerende udbud er kun 33.984 tokens, hvilket gør det til en af de mest illikvide store DeFi governance aktiver. Denne struktur forstærker kursbevægelser, særligt under perioder med usikkerhed eller hurtig likvidationsstrøm. Derivatdata viste også øget finansieringsvolatilitet umiddelbart efter udnyttelsesalarmen.
Tabene synes for nu at være begrænset til de yETH og Balancer pools, der blev berørt af udnyttelsen. Undersøgelserne fortsætter, og det er uklart, om der findes nogen muligheder for opsving af de stjålne aktiver.
Markederne vil sandsynligvis holde øje med en formel Yearn-udtalelse, der beskriver årsagen, rettelsesindsatsen og potentielle governance-handlinger.
