О, вселенная. Это довольно большое место. И, очевидно, это довольно плохое место для Yearn Finance, который только что подвергся эксплойту, настолько дерзкому, что, вероятно, проверяет свой собственный банковский счет прямо сейчас. 🤯💥
Думаешь, S&P 500 — это новая модель смартфона? Тебе точно к нам. Объясняем сложные вещи простыми словами и пытаемся понять, куда опять пойдет рынок.
Узнать, что такое P/EYearn Finance столкнулся с новой уязвимостью в системе безопасности после того, как злоумышленник использовал контракт токена yETH и вывел миллионы в ETH и активы liquid staking из пулов Balancer. Такой вид уязвимости заставляет задуматься, не была ли блокчейн просто очень плохой идеей. 🧠
- Эксплойт был направлен на старый контракт yETH, который, если бы у него была личность, вероятно, был бы тем человеком, который оставляет дверцу холодильника открытой, а затем винит молоко. 🥛
- Примерно 1,000
было переведено через Tornado Cash вскоре после атаки, при этом больше активов все еще находится на кошельках злоумышленника. Tornado Cash, всегда загадочная фигура, в очередной раз доказала, что если вы хотите исчезнуть, вам нужен не только план — вам нужна блокчейн. 🕵️♂️ - Yearn подтвердил, что проблема изолирована от его V2 и V3 Vaults и готовит подробный отчет об инциденте. Потому что ничто так не говорит «мы абсолютно не обеспокоены», как твит, состоящий на 90% из эмодзи и на 10% из фактической информации. 🤡
Инцидент развернулся поздно 30 ноября, когда злоумышленник активировал ошибку бесконечной чеканки внутри контракта yETH. Затем он отчеканил невероятно большое количество yETH, более 235 триллионов токенов, в одной транзакции. Если вы думали, что ваш банковский счет полон, вы ошибались. Это был другой вид полноты. 💸
С помощью этих токенов злоумышленник быстро перемещался через пулы Balancer, выводя реальные активы, включая ETH и популярные стейкинговые деривативы. Первоначальные следы показывают, что вскоре после взлома через Tornado Cash прошло около 3 миллионов долларов, в то время как адрес злоумышленника все еще хранит дополнительные активы, связанные с этим событием. Tornado Cash, всегда загадочная фигура, в очередной раз доказала, что если вы хотите исчезнуть, вам нужен не только план — вам нужна блокчейн. 🕵️♂️
Эксплойт изолирован продуктом yETH старого образца.
Данные блокчейна показывают, что пул yETH stableswap был опустошен за считанные минуты, оставив дыру примерно в 2,8 миллиона долларов. Yearn Finance(YFI) заявили, что проблема заключается в более старой реализации yETH и не затрагивает её V2 или V3 Vaults. Протоколы, построенные на Yearn V3, включая Katana, также сообщили об отсутствии воздействия. Это как старый yETH был странным кузеном, который принёс нож на вечеринку, и все остальные просто рады, что не оказались вовлечены. 🤷♂️
Мы расследуем инцидент, связанный с пулом стабильного свопа yETH LST.
Хранилища Yearn (как V2, так и V3) не затронуты.
— yearn (@yearnfi) November 30, 2025
Несколько вспомогательных контрактов появились непосредственно перед атакой и исчезли через вызовы self-destruct, как только пул был опустошен, что затруднило отслеживание следов. Словно они были призраками, но даже у призраков был план. 👻
Команды безопасности, изучающие транзакции, включая аудиторов, отслеживающих более старые продукты Yearn, связали это событие с давней уязвимостью в логике выпуска токенов yETH, а не с проблемой в текущей архитектуре хранилищ Yearn. Потому что ничто так не говорит о «нашей безопасности», как 10-летняя ошибка, которая до сих пор вызывает хаос. 🧨
Протокол поддерживает действующую программу вознаграждений за обнаружение ошибок, с вознаграждениями, достигающими 200 000 долларов США за критические открытия, хотя пока не объявлено о пути восстановления. Потому что ничто так не говорит о том, что «мы серьезно относимся к безопасности», как предложение вознаграждения, которое меньше суммы убытков. 💸
Активность в блокчейне усиливается после оттока ликвидности.
Вскоре после краха пула, пользователь X под ником Togbo отметил несколько перемещений пакетов в 100 ETH через Tornado Cash. В общей сложности около 1000 ETH было перемешано в течение нескольких часов после взлома. Злоумышленник по-прежнему удерживает дополнительные активы стоимостью в несколько миллионов долларов на нескольких кошельках. Это как будто злоумышленник играет в игру «сколько раз можно спрятать миллион долларов, прежде чем кто-нибудь заметит?» и ответ — «довольно много». 🎯
какие-то другие вещи, связанные с Balancer, похожие на эксплойт, учитывая активное взаимодействие с Tornado
yearn, rocket pool, origin, dinero и другие LST в обращении
— Togbe (@Togbe0x) November 30, 2025
Пул yETH содержал примерно $11 миллионов до взлома, и хотя окончательная сумма убытков все еще находится на рассмотрении, Yearn заявила, что средства пользователей в активных хранилищах остаются в безопасности. Потому что ничто так не говорит о «нашей надежности», как протокол, который потерял $3 миллиона, но все еще утверждает, что все в порядке. 🤝
Этот инцидент добавляется к долгому списку управления устаревшими рисками протокола, произошел спустя годы после эксплойта yDAI в 2021 году и неправильной конфигурации казначейства в 2023 году, которая не затронула вкладчиков. YFI снизился примерно на 4% после инцидента и торговался около $4,002 на момент публикации. Итак, в заключение, Yearn Finance — это, по сути, финансовый эквивалент дома с протекающей крышей — это не конец света, но вы определенно не хотите быть тем, кто платит за ремонт. 🏡
Смотрите также
- Перспективы рынка криптовалюты ETH: прогнозы цены эфириума
- Прогноз курса евро к вьетнамскому донгу
- Прогноз курса доллара к австралийскому доллару
- Перспективы рынка криптовалюты BONK: прогнозы цены BONK
- Акции РУСАЛ цена. Прогноз цены РУСАЛ
- Акции Совкомфлот цена. Прогноз цены Совкомфлот
- Прогноз курса фунта к йене
- Перспективы рынка криптовалюты TAO: прогнозы цены TAO
- Прогноз курса евро к гривне
- Перспективы рынка криптовалюты SHIB: прогнозы цены шиба ину
2025-12-01 06:31