Yearn Finance, ang batikang halimaw ng DeFi jungle, ay muling tinamaan.
Ang biktima? yETH, isang makinis na produkto ng Yearn na nagbabalot ng iba't ibang staked Ethereum sa isang maayos na pakete.
Isipin mo ang isang cosmic fruit basket na biglang nilimas ng isang misteryosong crypto bandido.
1,000 ETH dinala sa Tornado Cash
Ang pagnanakaw? Humigit-kumulang $9 milyon ang nawala mula sa yETH stableswap pool at ang sidekick nito, ang mas maliit na yETH-WETH pool sa Curve.
Ginawa ng hacker ito na parang propesyonal, sinamantala ang isang mahiwagang kombinasyon ng tinatawag na “low-level numerical bug” at isang “high-level invariant-management issue” (oo, totoong crypto expert jargon yan para sa “nagkamali kami”).
Sa isang Linggo na dapat sana ay tahimik, may isang nag-mint ng walang hanggang yETH tokens, ipinagpalit ang mga ito para sa totoong ETH at staking tokens, pagkatapos ay tumakas na may premyong pera at mga 1,000 ETH na dinala sa Tornado Cash, ang bersyon ng DeFi ng smoke bomb.
Noong 21:11 UTC ng Nobyembre 30, naganap ang isang insidente na kinasasangkutan ng yETH stableswap pool na nagresulta sa pag-mint ng malaking halaga ng yETH. Ang naapektuhang kontrata ay isang custom na bersyon ng popular na stableswap code, na hindi konektado sa ibang produkto ng Yearn. Ang Yearn V2/V3 vaults ay hindi nanganganib.
— yearn (@yearnfi) December 1, 2025
Smart contracts na nagse-self-destruct
Mabilis at medyo bayani ang tugon ng Yearn. Nakipagtulungan sila sa Plume at Dinero, nabawi nila ang 857.49 pxETH, humigit-kumulang $2.4 milyon, nailigtas ang bahagi ng nakulimbat mula sa bangin.
Ang proseso ay maselan, inilarawan sa evening dispatch ng Yearn bilang “high complexity,” na maihahambing sa kasikatan ng kamakailang Balancer hack.
Paano nagawa ng kontrabida ang stunt na ito? Ang sikreto ay isang matalinong uri ng smart contracts na nagse-self-destruct pagkatapos ng kanilang maruming gawain, binubura ang anumang bakas ng kanilang bytecode ngunit nag-iiwan ng mga blockchain breadcrumbs para sa mga matatalas na analyst.
Ang mga kontratang ito ay nag-mint ng pekeng yETH tokens, nilimas ang mga pool, pagkatapos ay naglaho na parang mga multong barko sa digital na gabi.
Kahit ang mga beteranong protocol na may dalang bilyon-bilyon ay hindi ligtas
Opisyal na pahayag ng Yearn? Ang gulo ay isolated, tanging ang custom code ng yETH ang tinamaan.
Sa oras ng pagsulat, ang Yearn Vaults ay may hawak pa ring $570 milyon, hindi naapektuhan ng partikular na insidenteng ito. Ngunit, masasabi nating hindi ito ang unang beses ng Yearn.
Nalagay na sila sa mga exploit mula pa noong 2021, kabilang ang $11 milyon na pagkawala mula sa yDAI vault hack at isang atake sa lumang yUSDT contract noong 2023.
Tulad ng isang batikang cowboy, patuloy na binabaril ang Yearn ngunit tumatangging magpaalam.
Para sa mga DeFi enthusiast, ang insidenteng ito ay isang malakas na babala, kahit ang mga beteranong protocol na may dalang bilyon-bilyon ay hindi ligtas.
Ang yETH exploit ay pinaghalo ang mga kakaibang katangian ng smart contract at tusong hacker, na nagpapakita ng delikadong balanse ng seguridad sa decentralized finance.
Cryptocurrency at Web3 expert, founder ng Kriptoworld
LinkedIn | X (Twitter) | Higit pang mga artikulo
Sa maraming taon ng karanasan sa pag-cover ng blockchain space, naghahatid si András ng malalim na ulat tungkol sa DeFi, tokenization, altcoins, at crypto regulations na humuhubog sa digital economy.
