🔍 Was geschah mit Yearn / yETH?
Am 30. November 2025 bestätigte Yearn, dass ihr Pool/Vertrag "yETH LST stableswap" ausgenutzt wurde.
Die Schwachstelle ermöglichte es einem Angreifer, einen "unendlichen Mint" von yETH durchzuführen – das heißt: sie schufen eine praktisch unbegrenzte Menge an gefälschten yETH-Token.
Mit diesen gefälschten Token tauschte der Angreifer sie sofort gegen echte Vermögenswerte – insbesondere ETH und andere Staking-Token – und drainte die Liquidität des "vererbten" yETH-Pools in wenigen Minuten.
Laut Berichten wird der Gesamtschaden auf etwa ≈ 8 bis 9 Millionen US-Dollar.
Ein Teil der gestohlenen Gelder — etwa 1.000 ETH (ungefähr ≈ 3 Millionen US-Dollar zum Zeitpunkt) — wurde schnell an einen Mixer (Tornado Cash) gesendet, offenbar um Spuren zu verwischen.
Yearn behauptet, dass nur der „Legacy-Pool“ von yETH betroffen war: ihre aktuellen Hauptprodukte — die „Vaults V2/V3“ — nicht betroffen waren.
Unmittelbar nach dem Angriff wurde dieser Pool isoliert. Die Protokollbehörden und Sicherheitsanalysten begannen eine postmortale Prüfung, um den Fehler zu bestimmen und Verantwortlichkeiten zu klären.
✅ Was ist mit Sicherheit bekannt — offizielle Bestätigungen?
Es gab einen Exploit gegen yETH, mit „unendlichem Mint“ von Tokens.
Es wurden reale Vermögenswerte abgezogen: ETH und Tokens von Liquid Staking.
Der geschätzte Schaden beläuft sich auf etwa 8–9 Millionen US-Dollar.
Die Hauptprodukte / „Vaults“ von Yearn sind nicht kompromittiert (zumindest laut ihrer offiziellen Version).
Es wurden teilweise Vermögenswerte zurückgewonnen: Es wurde von einer anfänglichen Rückgewinnung von etwa 2,4 Millionen US-Dollar im Zusammenhang mit dem Exploit berichtet.
#YearnFinance #YearnFinanceTurbulence
⚠️ Was sind die Risiken und was ändert sich für die Benutzer / für DeFi?
Dieser Vorfall hat mehrere Risikofacetten und Konsequenzen für die DeFi-Gemeinschaft:
🔐 Systemische technische Verwundbarkeit: ein „unendliches Mint“ bedeutet einen schweren logischen Fehler im Vertrag — kein geringer Fehler. Dies zeigt, dass selbst große und geprüfte Protokolle kritische Lücken haben können, was das Vertrauen in komplexe Smart Contracts beeinträchtigt.
🚨 Verlust von Liquidität und Vertrauen in „komplexe“ Produkte oder „liquid staking + Pools“: yETH kombinierte Staking-Derivate (LST) mit Liquidität, was zusätzliche Komplexitätsschichten hinzufügt: Verwundbarkeiten in einer dieser Schichten können Kaskadeneffekte haben.
💵 Echte Verluste für Teile der Gemeinschaft: Wenn es Benutzer in diesem spezifischen Pool gab, könnten ihre Einlagen betroffen sein. Obwohl Yearn sagt, dass sie den Pool isoliert haben, schaffen es nicht immer alle Benutzer rechtzeitig zu entkommen.
🧑⚖️ Beschädigter Ruf — Vertrauen in die Sicherheit verringert: Wenn ein Exploit ein anerkanntes Protokoll trifft, werden viele Menschen ihr Vertrauen in DeFi, in Smart Contracts neu bewerten und konservativere Verwahrungen oder einfachere Produkte bevorzugen.
🔁 Mögliche Zunahme von Audits, strengen Überprüfungen, weniger schneller Innovation: Die Entwickler und Projekte im DeFi-Bereich könnten vorsichtiger werden, was neue Veröffentlichungen, Innovationen oder regulatorische / Due-Diligence-Bremsen verlangsamt.
🔎 Was sollte man jetzt genau beobachten?
Was die Prüfung / „Post-Mortem“ von Yearn offenbart: Welche Art von Fehler das „unendliche Mint“ ermöglichte und ob es eine bekannte (oder neue) Verwundbarkeit war.
Ob Yearn es schafft, mehr Gelder zurückzuholen — sie haben bereits ~2,4 Millionen US-Dollar zurückgeholt, aber es fehlt noch ein Teil.
Wie die DeFi-Gemeinschaft reagiert: ob es Vertrauenskrisen gibt, Kapitalflucht zu als „sicher“ angesehenen Protokollen oder ob die Liquidität in Staking/LPs sinkt.
Ob andere Projekte mit ähnlichen Strukturen ihre Verträge überprüfen, um ähnliche Verwundbarkeiten zu vermeiden: es könnte als technischer Weckruf für das gesamte Ökosystem dienen.
Auswirkungen auf den Preis des Tokens des Protokolls (sofern zutreffend) und auf Tokens, die mit Staking oder DeFi verbunden sind — Vertrauensverluste betreffen oft nicht nur das Protokoll, sondern auch das allgemeine Gefühl.
Dieser Hack des yETH von Yearn zeigt, dass — trotz seiner Popularität und Geschichte — die DeFi-Protokolle nach wie vor sehr anfällig für Codefehler sind. Der Exploit war schwerwiegend, mit Millionenverlusten, und obwohl die „Hauptvaults“ überlebt haben, könnte das Vertrauen des Marktes beeinträchtigt sein. Es ist ein Weckruf für Investoren, Entwickler und Benutzer: Innovation in DeFi bringt echte Risiken mit sich, und es gibt keine Garantie für totale Sicherheit.
