DeFi-проект Yearn Finance взломали на $9 млн
30 ноября неизвестные атаковали протокол Yearn Finance. Общий ущерб составил $9 млн, отметили специалисты по блокчейн-безопасности PeckShield.
#PeckShieldAlert Yearn Finance @yearnfi suffered an attack resulting in a total loss of ~$9M.
— PeckShieldAlert (@PeckShieldAlert) December 1, 2025
The exploit involved minting a near-infinite number of yETH tokens, depleting the pool in a single transaction.
~1K $ETH (worth ~$3M) was sent to #TornadoCash, while the exploiter's… pic.twitter.com/IXNygpwoWa
Детали
Команда проекта подтвердила факт взлома, подчеркнув, что причиной стала уязвимость в коде продукта Yearn Ether (yETH).
At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.
— yearn (@yearnfi) December 1, 2025
По данным PeckShield, злоумышленники создали почти бесконечное количество монет, опустошив весь пул одной транзакцией на 1000 ETH (~$3 млн).
Украденные средства хакеры сразу отправили в криптомиксер Tornado Cash.
По словам разработчиков Yearn, затронутый контракт — кастомная версия популярного кода stableswap, не связанная с другими продуктами протокола. Yearn V2/V3 остаются в безопасности, подчеркнули они.
Предварительные данные указали на следующие приблизительные потери:
- $8 млн из затронутого пула stableswap;
- $0,9 млн из пула стабильного обмена yETH-WETH на Curve.
«Первоначальный анализ показал, что по уровню сложности взлом похож на недавний эксплойт Balancer, поэтому, пожалуйста, проявите терпение, пока мы проводим анализ. Ни один другой продукт Yearn не использует код, аналогичный тому, который был затронут», — добавила команда проекта.
Влияние
На фоне инцидента токен Yearn — YFI — просел на 5,5%. На момент написания актив торгуется около $3900 при капитализации на уровне $132,6 млн.
TVL протокола снизился с $432 млн до $410 за последние сутки. На пике в ноябре 2021 года показатель составлял $6,7 млрд.
Последний инцидент — не первый случай взлома Yearn. В 2021 году неизвестный вывел $2,8 млн из пула v1 yDAI. Проект оперативно возместил потери пострадавшим пользователям.
В декабре 2023 года в результате «ошибочного сценария» мультисиг-транзакции протокол потерял 63% казначейских средств в пуле Lp yCRV. Инцидент произошел в ходе «обычного процесса конвертации токенов комиссий» и привел к обмену 3 794 894 yCRV на 779 958 yvDAI. Команда уточнила, что ущерб составил $1,4 млн.
Напомним, в ноябре 2025 года ончейн-исследователь под ником tanuki42 обнаружил нераскрытый взлом маркетмейкера DWF Labs на $44 млн.