Проєкт Yearn Finance у неділю підтвердив факт активного експлойту, що торкнувся його продукту yETH. Зловмисник здійснив емісію практично необмеженої кількості токенів yETH та вивів ліквідність із пулів Balancer.
Інцидент спровокував значну ончейн-активність, включно з численними переказами по 100 ETH, маршрутизованими через сервіс Tornado Cash.
Атака з нескінченною емісією вивела ліквідність Balancer
Згідно з даними блокчейну, експлойт стався приблизно о 21:11 UTC 30 листопада, коли зловмисний гаманець виконав атаку з нескінченною емісією, унаслідок якої було створено близько 235 трлн yETH в рамках однієї транзакції.
Згодом система оповіщення аналітичної платформи Nansen підтвердила факт атаки та ідентифікувала подію як вразливість нескінченної емісії в смартконтракті токена yETH, а не в інфраструктурі Vault від Yearn.
Зловмисник використав новостворені токени yETH для виведення реальних активів – переважно ETH та LST (токени ліквідного стейкінгу) – з пулів ліквідності Balancer. За попередніми оцінками, було виведено активи на суму близько $2,8 млн.
Близько 1 000 ETH було відмито через Tornado Cash невдовзі після атаки. Кілька допоміжних смартконтрактів, задіяних в експлойті, були розгорнуті за хвилини до інциденту та самознищилися після його завершення з метою приховування слідів.
Представники Yearn заявили, що сховища Vault версій V2 та V3 не постраждали, а вразливість, схоже, обмежується застарілою імплементацією yETH.
Згідно з даними CoinGecko, TVL (загальна вартість заблокованих активів) протоколу залишається на рівні понад $600 млн, що вказує на відсутність компрометації ключових систем.
Ціна YFI демонструє стрибок на тлі зміни ринкових настроїв після початкової паніки
Проте реакція ринку спричинила несподівану динаміку. Невдовзі після того, як інформація про експлойт була поширена в соціальних мережах та блокчейн-аналітиками, ціна YFI різко зросла, піднявшись із приблизно $4 080 до понад $4 160 протягом години.
Такий рух відбувся попри негативний інформаційний фон навколо екосистеми Yearn.
Реакція ціни, ймовірно, пов’язана з неправильною інтерпретацією ринком подій у перші хвилини після інциденту. Початкові повідомлення про «експлойт Yearn» спровокували відкриття коротких позицій з високим кредитним плечем по YFI, враховуючи низьку ліквідність токена та історично агресивні низхідні рухи під час хакерських атак.
Атака була ізольована в межах yETH і не зачепила сховища Vault, тож продавці коротких позицій почали їх закривати. Це спровокувало короткочасний short squeeze (примусове закриття коротких позицій) та стрибок ціни, зумовлений волатильністю.
Циркулююча пропозиція YFI становить лише 33 984 токени, що робить його одним із найменш ліквідних ключових активів управління у секторі DeFi. Така структура посилює цінові коливання, особливо в періоди невизначеності або стрімкого потоку ліквідацій. Дані з ринку деривативів також продемонстрували підвищену волатильність фінансування одразу після повідомлення про експлойт.
На цей час збитки, як видається, обмежуються пулами yETH та Balancer, що зазнали впливу експлойту. Розслідування триває, і наразі невідомо, чи існують можливості для повернення викрадених активів.
Ринки, ймовірно, очікуватимуть на офіційне розкриття інформації від Yearn з детальним аналізом першопричин, заходів із виправлення вразливості та потенційних управлінських рішень.
