🔍 Cosa è successo con Yearn / yETH?
Il 30 novembre 2025, Yearn ha confermato che il suo pool/contratto “yETH LST stableswap” è stato sfruttato.
La vulnerabilità ha permesso a un attaccante di effettuare un “mint infinito” di yETH — cioè: hanno creato una quantità praticamente illimitata di token yETH falsi.
Con quei token falsi, l'attaccante immediatamente li ha scambiati per attivi reali — soprattutto ETH e altri token derivati dallo staking — drenando la liquidità del pool “legacy” di yETH, in pochi minuti.
Secondo i rapporti, la perdita totale si stima tra ≈ US$ 8 a US$ 9 milioni.
Parte dei fondi rubati — circa 1.000 ETH (circa ≈ US$ 3 milioni al momento) — sono stati inviati rapidamente a un miscelatore (Tornado Cash), apparentemente per nascondere le tracce.
Yearn afferma che solo il “legacy pool” di yETH è stato colpito: i suoi prodotti principali attuali — i “Vaults V2/V3” — non hanno subito impatti.
Immediatamente dopo l'attacco, quel pool è stato isolato. Le autorità del protocollo e gli analisti di sicurezza hanno iniziato un'audit post-mortem per determinare il fallimento e attribuire responsabilità.
✅ Cosa si sa con certezza — conferme ufficiali?
Che c'è stato un exploit contro yETH, con “mint infinito” di token.
Che sono stati drenati asset reali: ETH e token di staking liquido.
Che il danno stimato si aggira intorno a US$ 8–9 milioni.
Che i prodotti principali/“Vaults” di Yearn non sono compromessi (almeno secondo la loro versione ufficiale).
Che sono stati parzialmente recuperati asset: è stata segnalata un recupero iniziale di circa US$ 2.4 milioni legati all'exploit.
#YearnFinance #YearnFinanceTurbulence
⚠️ Quali sono i rischi e cosa cambia per gli utenti / per DeFi?
Questo incidente ha diverse sfaccettature di rischio e conseguenze per la comunità DeFi:
🔐 Vulnerabilità tecnica sistemica: un “mint infinito” implica un grave fallimento logico nel contratto — non un errore minore. Questo dimostra che anche protocolli grandi e auditati possono avere lacune critiche, il che influisce sulla fiducia nei contratti intelligenti complessi.
🚨 Perdita di liquidità e fiducia in prodotti “composti” o “liquid staking + pools”: eETH combinava derivati di staking (LST) con liquidità, il che aggiunge strati di complessità: le vulnerabilità in uno qualsiasi di quegli strati possono avere effetti a cascata.
💵 Perdite reali per parte della comunità: se c'erano utenti in quel pool specifico, potrebbero vedere i loro depositi influenzati. Anche se Yearn dice che ha isolato il pool, non sempre tutti gli utenti riescono a uscire in tempo.
🧑⚖️ Reputazione danneggiata — fiducia nella sicurezza diminuita: quando un exploit colpisce un protocollo riconosciuto, molte persone rivaluteranno la loro fiducia in DeFi, nei contratti intelligenti, e preferiranno custodie più conservative o prodotti più semplici.
🔁 Possibile incremento di audit, revisioni rigorose, meno innovazione rapida: gli sviluppatori e i progetti di DeFi possono diventare più cauti, il che rallenta i nuovi lanci, l'innovazione, o aggiunge freni normativi / di due diligence.
🔎 Cosa conviene seguire di vicino ora
Cosa rivela l'audit / “post-mortem” di Yearn: che tipo di errore ha permesso il “infinite mint”, e se era una vulnerabilità nota (o nuova).
Se Yearn riesce a recuperare più fondi — hanno già recuperato ~US$ 2.4 milioni, ma manca ancora un tratto.
Come reagisce la comunità DeFi: se ci sono rivolgimenti di fiducia, fuga di capitale verso protocolli considerati “sicuri”, o se la liquidità in staking/LPs diminuisce.
Se altri progetti con strutture simili rivedono i loro contratti per evitare vulnerabilità simili: potrebbe servire come campanello d'allarme tecnico per tutto l'ecosistema.
Impatto sul prezzo del token del protocollo (se applicabile), e sui token correlati allo staking o a DeFi — le cadute di fiducia tendono a influenzare non solo il protocollo, ma anche il sentimento generale.
Questo hack al yETH di Yearn dimostra che — nonostante la sua popolarità e storia — i protocolli DeFi rimangono molto vulnerabili a fallimenti di codice. L'exploit è stato grave, con perdite milionarie, e anche se i “Vaults principali” sono sopravvissuti, la fiducia del mercato potrebbe essere danneggiata. È un campanello d'allarme per investitori, sviluppatori e utenti: l'innovazione in DeFi comporta rischi reali e non è garanzia di sicurezza totale.
