🔍 Ce s-a întâmplat cu Yearn / yETH?
Pe 30 noiembrie 2025, Yearn a confirmat că pool-ul/contractul său „yETH LST stableswap” a fost exploatat.
Vulnerabilitatea a permis unui atacator să efectueze un „mint infinit” de yETH — adică: au creat o cantitate practic nelimitată de tokenuri yETH false.
Cu aceste tokenuri false, atacatorul le-a schimbat imediat pe active reale — în special ETH și alte tokenuri derivate din staking — drenând lichiditatea pool-ului „moștenit” de yETH, în câteva minute.
Conform rapoartelor, pierderea totală se estimează între ≈ 8 milioane USD până la 9 milioane USD.
O parte din fondurile furate — aproximativ 1.000 ETH (aproximativ ≈ 3 milioane USD în acea vreme) — au fost trimise rapid către un mezclator (Tornado Cash), aparent pentru a ascunde urmele.
Yearn afirmă că doar "legacy pool"-ul yETH a fost afectat: produsele sale principale actuale — "Vaults V2/V3" — nu au suferit impact.
Imediat după atac, acel pool a fost izolat. Autoritățile protocolului și analiștii de securitate au început o auditare post-mortem pentru a determina eroarea și a urmări responsabilitățile.
✅ Ce se știe cu certitud — confirmări oficiale?
Că a existat un exploit împotriva yETH, cu "mint infinit" de tokenuri.
Că au fost drenate active reale: ETH și tokenuri de staking lichid.
Că daunele estimate se ridică la aproximativ 8–9 milioane USD.
Că produsele principale/"Vaults" ale Yearn nu sunt compromise (cel puțin conform versiunii oficiale).
Că au fost recuperate parțial active: s-a raportat o recuperare inițială de aproximativ 2,4 milioane USD legate de exploit.
#YearnFinance #YearnFinanceTurbulence
⚠️ Care sunt riscurile și ce se schimbă pentru utilizatori / pentru DeFi?
Acest incident are mai multe aspecte de risc și consecințe pentru comunitatea DeFi:
🔐 Vulnerabilitate tehnică sistemică: un "mint infinit" implică o eroare logică gravă în contract — nu o greșeală minoră. Acest lucru arată că chiar și protocoale mari și auditate pot avea goluri critice, ceea ce afectează încrederea în contracte inteligente complexe.
🚨 Pierderi de lichiditate și încredere în produsele "compuse" sau "liquid staking + pools": yETH combina derivativi de staking (LST) cu lichiditate, ceea ce adaugă niveluri de complexitate: vulnerabilitățile din oricare dintre aceste straturi pot avea efecte în lanț.
💵 Pierderi reale pentru o parte a comunității: dacă existau utilizatori în acel pool specific, ar putea observa depozitele lor afectate. Deși Yearn afirmă că a izolat pool-ul, nu întotdeauna toți utilizatorii reușesc să iasă la timp.
🧑⚖️ Reputație deteriorată — încrederea în securitate scade: când un exploit lovește un protocol recunoscut, multe persoane vor reevalua încrederea în DeFi, în contracte inteligente și vor prefera custodii mai conservatoare sau produse mai simple.
🔁 Posibil creștere a auditurilor, revizuiri stricte, mai puțină inovație rapidă: dezvoltatorii și proiectele DeFi pot deveni mai precauți, ceea ce încetinește lansările noi, inovația sau adaugă bariere regulatorii / de due diligence.
🔎 Ce ar trebui urmărit acum
Ce dezvăluie auditul / "post-mortem"-ul Yearn: ce tip de eroare a permis "infinite mint", și dacă a fost o vulnerabilitate cunoscută (sau nouă).
Dacă Yearn reușește să recupereze mai multe fonduri — deja au recuperat ~2,4 milioane USD, dar mai rămâne o parte.
Cum reacționează comunitatea DeFi: dacă apar revolte de încredere, scurgerea de capital către protocoale considerate "sigure", sau dacă lichiditatea în staking/LPs scade.
Dacă alți proiecte cu structuri similare revizuiesc contractele lor pentru a evita vulnerabilități similare: ar putea servi ca un semnal de alarmă tehnic pentru întregul ecosistem.
Impact asupra prețului tokenului protocolului (dacă se aplică), și asupra tokenurilor legate de staking sau DeFi — scăderile de încredere afectează de obicei nu doar protocolul, ci și sentimentul general.
Acest hack asupra yETH-ului Yearn arată că — deși este popular și are o traiectorie solidă — protocoalele DeFi rămân foarte vulnerabile la erori de cod. Exploitul a fost grav, cu pierderi de milioane, iar deși "Vaulturile principale" au supraviețuit, încrederea pieței poate fi afectată. Este un avertisment pentru investitori, dezvoltatori și utilizatori: inovația în DeFi vine cu riscuri reale, iar nu este o garanție de securitate totală.