🔍 Что случилось с Yearn / yETH?
30 ноября 2025 года Yearn подтвердила, что ее пул/контракт «yETH LST stableswap» был взломан.
Уязвимость позволила злоумышленнику провести «бесконечный чекан» yETH — то есть: они создали практически неограниченное количество поддельных токенов yETH.
С этими поддельными токенами злоумышленник немедленно обменял их на реальные активы — в основном ETH и другие токены, полученные от стекинга — исчерпав ликвидность «наследственного» пула yETH за считанные минуты.
Согласно отчетам, общая потеря оценивается в ≈ 8–9 миллионов долларов США.
Часть украденных средств — около 1.000 ETH (примерно ≈ 3 миллиона долларов США на данный момент) — были быстро отправлены в смешиватель (Tornado Cash), предположительно для сокрытия следов.
Yearn утверждает, что только “наследственный пул” yETH был затронут: их текущие основные продукты — “Сейфы V2/V3” — не пострадали.
Немедленно после атаки этот пул был изолирован. Власти протокола и аналитики безопасности начали посмертный аудит, чтобы определить сбой и установить ответственность.
✅ Что известно с уверенностью — официальные подтверждения?
Что произошел взлом против yETH, с бесконечным “минтом” токенов.
Что были выведены реальные активы: ETH и токены ликвидного стейкинга.
Что оценочный ущерб составляет около 8–9 миллионов долларов США.
Что основные продукты/“Сейфы” Yearn не затронуты (по крайней мере согласно их официальной версии).
Что частично были восстановлены активы: сообщалось о первоначальном восстановлении около 2.4 миллиона долларов США, связанных с взломом.
#YearnFinance #YearnFinanceTurbulence
⚠️ Каковы риски и что меняется для пользователей / для DeFi?
Этот инцидент имеет несколько аспектов риска и последствий для сообщества DeFi:
🔐 Техническая системная уязвимость: бесконечный “минт” подразумевает серьезный логический сбой в контракте — не мелкую ошибку. Это показывает, что даже крупные и проверенные протоколы могут иметь критические уязвимости, что влияет на доверие к сложным смарт-контрактам.
🚨 Потеря ликвидности и доверия к “составным” продуктам или “ликвидной ставке + пулам”: yETH сочетал производные от стейкинга (LST) с ликвидностью, что добавляет слои сложности: уязвимости на любом из этих слоев могут иметь каскадные эффекты.
💵 Реальные потери для части сообщества: если в этом конкретном пуле были пользователи, их депозиты могли быть затронуты. Хотя Yearn утверждает, что изолировал пул, не всегда все пользователи успевают выйти вовремя.
🧑⚖️ Поврежденная репутация — доверие к безопасности снизилось: когда взлом затрагивает признанный протокол, многие люди пересмотрят свое доверие к DeFi, к смарт-контрактам и предпочтут более консервативные хранители или более простые продукты.
🔁 Возможное увеличение аудитов, строгих проверок, меньше быстрой инновации: разработчики и проекты DeFi могут стать более осторожными, что замедляет новые релизы, инновации, или добавляет регуляторные/должные проверки.
🔎 Что сейчас стоит следить внимательно
Что показывает аудит / “посмертный” отчет Yearn: какой тип ошибки позволил “бесконечный минт”, и была ли это известная (или новая) уязвимость.
Если Yearn удастся восстановить больше средств — они уже восстановили около 2.4 миллиона долларов, но еще не хватает одного этапа.
Как реагирует сообщество DeFi: есть ли волнения доверия, утечка капитала к протоколам, считающимся “безопасными”, или падает ли ликвидность в стейкинге/LP.
Если другие проекты с подобными структурами пересматривают свои контракты, чтобы избежать аналогичных уязвимостей: это может послужить техническим сигналом для всей экосистемы.
Влияние на цену токена протокола (если применимо), и на токены, связанные со стейкингом или DeFi — падения доверия обычно влияют не только на протокол, но и на общее настроение.
Этот взлом yETH Yearn демонстрирует, что — несмотря на свою популярность и историю — протоколы DeFi остаются очень уязвимыми к сбоям кода. Взлом был серьезным, с миллионными потерями, и хотя “основные сейфы” выжили, доверие рынка может быть подорвано. Это сигнал для инвесторов, разработчиков и пользователей: инновации в DeFi несут реальные риски, и не гарантируют полной безопасности.