🔍 Chuyện gì đã xảy ra với Yearn / yETH?
Vào ngày 30 tháng 11 năm 2025, Yearn xác nhận rằng pool/hợp đồng “yETH LST stableswap” đã bị khai thác.
Lỗ hổng đã cho phép một kẻ tấn công thực hiện một “mint vô hạn” của yETH — tức là: họ đã tạo ra một số lượng gần như không giới hạn của các token yETH giả.
Với những token giả đó, kẻ tấn công ngay lập tức đã đổi chúng lấy tài sản thực — chủ yếu là ETH và các token khác liên quan đến staking — làm cạn kiệt thanh khoản của pool “di sản” của yETH, chỉ trong vài phút.
Theo các báo cáo, tổng tổn thất ước tính từ ≈ US$ 8 đến US$ 9 triệu.
Một phần của số quỹ bị đánh cắp — khoảng 1.000 ETH (khoảng ≈ US$ 3 triệu vào thời điểm đó) — đã được gửi nhanh chóng đến một trình trộn (Tornado Cash), rõ ràng để che giấu dấu vết.
Yearn khẳng định rằng chỉ có “legacy pool” của yETH bị ảnh hưởng: các sản phẩm chính hiện tại của họ — các “Vaults V2/V3” — không bị ảnh hưởng.
Ngay lập tức sau cuộc tấn công, pool đó đã được cô lập. Các cơ quan của giao thức và các nhà phân tích an ninh đã bắt đầu một cuộc kiểm toán sau cái chết để xác định lỗi và phân định trách nhiệm.
✅ Những gì được biết với độ chắc chắn — xác nhận chính thức?
Có một lỗ hổng chống lại yETH, với “mint vô tận” của các token.
Có các tài sản thực bị rút: ETH và token staking lỏng.
Tổn thất ước tính rơi vào khoảng US$ 8–9 triệu.
Các sản phẩm chính/“Vaults” của Yearn không bị ảnh hưởng (ít nhất theo phiên bản chính thức của họ).
Các tài sản đã được phục hồi một phần: có thông báo về việc phục hồi ban đầu khoảng US$ 2.4 triệu liên quan đến lỗ hổng.
#YearnFinance #YearnFinanceTurbulence
⚠️ Những rủi ro nào và điều gì thay đổi đối với người dùng / đối với DeFi?
Sự cố này có nhiều khía cạnh rủi ro và hậu quả cho cộng đồng DeFi:
🔐 Lỗ hổng kỹ thuật hệ thống: một “mint vô tận” có nghĩa là một lỗi logic nghiêm trọng trong hợp đồng — không phải là một lỗi nhỏ. Điều này cho thấy ngay cả những giao thức lớn và đã được kiểm toán cũng có thể có những lỗ hổng nghiêm trọng, điều này ảnh hưởng đến niềm tin vào các hợp đồng thông minh phức tạp.
🚨 Mất thanh khoản và niềm tin vào các sản phẩm “tổng hợp” hoặc “staking lỏng + pools”: yETH kết hợp các sản phẩm staking (LST) với thanh khoản, điều này thêm nhiều lớp phức tạp: các lỗ hổng trong bất kỳ lớp nào trong số đó có thể có tác động dây chuyền.
💵 Mất mát thực sự cho một phần cộng đồng: nếu có người dùng trong pool cụ thể đó, họ có thể thấy các khoản tiền gửi của mình bị ảnh hưởng. Mặc dù Yearn nói rằng họ đã cô lập pool, không phải lúc nào cũng mọi người dùng cũng có thể thoát kịp thời.
🧑⚖️ Danh tiếng bị tổn hại — niềm tin vào an ninh giảm sút: khi một lỗ hổng tấn công một giao thức đã được công nhận, nhiều người sẽ đánh giá lại niềm tin của họ vào DeFi, vào các hợp đồng thông minh, và sẽ ưa chuộng các hình thức bảo quản bảo thủ hơn hoặc các sản phẩm đơn giản hơn.
🔁 Có thể gia tăng kiểm toán, xem xét nghiêm ngặt, ít đổi mới nhanh chóng: các nhà phát triển và dự án DeFi có thể trở nên thận trọng hơn, điều này làm chậm lại các phát hành mới, đổi mới, hoặc thêm các rào cản pháp lý / thẩm định.
🔎 Điều gì nên được theo dõi chặt chẽ bây giờ
Cuộc kiểm toán / “sau cái chết” của Yearn tiết lộ: loại lỗi nào đã cho phép “mint vô tận”, và liệu đó có phải là một lỗ hổng đã biết (hay mới).
Nếu Yearn có thể phục hồi thêm quỹ — họ đã phục hồi khoảng ~US$ 2.4 triệu, nhưng vẫn còn thiếu một đoạn.
Cách cộng đồng DeFi phản ứng: nếu có sự nổi dậy về niềm tin, rút vốn sang các giao thức được coi là “an toàn”, hoặc nếu thanh khoản trong staking/LPs giảm.
Nếu các dự án khác với cấu trúc tương tự xem xét lại hợp đồng của họ để tránh những lỗ hổng tương tự: có thể phục vụ như một cái gọi dậy kỹ thuật cho toàn bộ hệ sinh thái.
Tác động đến giá token của giao thức (nếu áp dụng), và đến các token liên quan đến staking hoặc DeFi — sự sụt giảm niềm tin thường ảnh hưởng không chỉ đến giao thức, mà còn đến tâm lý chung.
Cuộc tấn công này vào yETH của Yearn chứng tỏ rằng — mặc dù sự phổ biến và lịch sử của nó — các giao thức DeFi vẫn rất dễ bị tổn thương trước các lỗi mã. Lỗ hổng này rất nghiêm trọng, với những tổn thất lên đến triệu đô la, và mặc dù các “Vaults chính” đã sống sót, niềm tin của thị trường có thể bị tổn thương. Đây là một lời cảnh tỉnh cho các nhà đầu tư, nhà phát triển và người dùng: đổi mới trong DeFi đi kèm với những rủi ro thực sự, và không đảm bảo an ninh hoàn toàn.