Der YETH-Token von Yearn Finance wird abtrünnig und verliert 3 Millionen US-Dollar an Tornado Cash 🤯

von

Oh, das Universum. Es ist ein ziemlich großer Ort. Und anscheinend ist es auch ein ziemlich schlechter Ort für Yearn Finance, das gerade von einem so frechen Exploit heimgesucht wurde, dass es wahrscheinlich gerade sein eigenes Bankkonto überprüft. 🤯💥

Yearn Finance hat mit einer neuen Sicherheitsverletzung zu kämpfen, nachdem ein Angreifer seinen yETH-Token-Vertrag ausgenutzt und Millionen an ETH sowie liquide Staking-Vermögenswerte aus Balancer-Pools abgezogen hat. Die Art von Verstoß, bei dem man sich fragt, ob die Blockchain einfach eine wirklich schlechte Idee war. 🧠

  • Der Exploit zielte auf einen älteren yETH-Vertrag ab, der, wenn er eine Persönlichkeit hätte, wahrscheinlich zu der Art von Person gehören würde, die die Kühlschranktür offen lässt und dann der Milch die Schuld gibt. 🥛
  • Kurz nach dem Angriff wurden rund 1.000 ETH über Tornado Cash transferiert, und in den Wallets des Angreifers befanden sich noch weitere Vermögenswerte. Tornado Cash, die stets rätselhafte Figur, hat wieder einmal bewiesen, dass man, wenn man verschwinden will, nicht nur einen Plan braucht – man braucht eine Blockchain. 🕵️‍♂️
  • Yearn bestätigte, dass das Problem von seinen V2- und V3-Tresoren isoliert ist und bereitet einen detaillierten Bericht über den Vorfall vor. Denn nichts sagt so sehr „Wir machen uns überhaupt keine Sorgen“ wie ein Tweet, der zu 90 % aus Emojis und zu 10 % aus tatsächlichen Informationen besteht. 🤡

Der Vorfall ereignete sich am späten 30. November, als ein Angreifer einen Infinite-Mint-Fehler im yETH-Vertrag auslöste. Anschließend prägten sie in einer einzigen Transaktion einen unglaublich großen Vorrat an yETH, mehr als 235 Billionen Token. Wenn Sie dachten, Ihr Bankkonto sei voll, haben Sie sich geirrt. Das war eine andere Art von Vollgas. 💸

Mit diesen Token bewegte sich der Angreifer schnell durch Balancer-Pools und entwendete reale Vermögenswerte, darunter ETH und beliebte Staking-Derivate. Erste Spuren zeigen, dass kurz nach dem Exploit fast 3 Millionen US-Dollar über Tornado Cash flossen, während die Adresse des Angreifers noch weitere Vermögenswerte im Zusammenhang mit dem Vorfall enthält. Tornado Cash, die stets rätselhafte Figur, hat wieder einmal bewiesen, dass man, wenn man verschwinden will, nicht nur einen Plan braucht – man braucht eine Blockchain. 🕵️‍♂️

Exploit isoliert auf ältere yETH-Produkte

Blockchain-Daten zeigen, dass der yETH Stableswap-Pool innerhalb von Minuten geleert wurde und eine Lücke von etwa 2,8 Millionen US-Dollar hinterließ. Yearn Finance (YFI) sagte, das Problem liege in einer älteren Implementierung von yETH und berühre nicht dessen V2- oder V3-Tresore. Protokolle, die auf Yearn V3 basieren, einschließlich Katana, meldeten ebenfalls keine Gefährdung. Es ist, als wäre der alte yETH der seltsame Cousin gewesen, der ein Messer zu einer Party mitgebracht hat, und alle anderen sind einfach froh, dass sie sich nicht eingemischt haben. 🤷‍♂️

Wir untersuchen einen Vorfall im Zusammenhang mit dem yETH LST Stableswap-Pool.

Yearn Vaults (sowohl V2 als auch V3) sind nicht betroffen.

– yearn (@yearnfi) 30. November 2025

Mehrere Helferverträge tauchten nur wenige Augenblicke vor dem Angriff auf und verschwanden durch Selbstzerstörungsrufe, sobald das Becken geleert war, was es schwieriger machte, der Spur zu folgen. Es ist, als wären sie Geister, aber selbst die Geister hatten einen Plan. 👻

Sicherheitsteams, die die Transaktionen überprüften, darunter auch Prüfer, die die älteren Produkte von Yearn verfolgten, führten das Ereignis eher mit einer seit langem bestehenden Minting-Schwäche innerhalb der yETH-Token-Logik als mit einem Problem in der aktuellen Tresorarchitektur von Yearn in Verbindung. Denn nichts sagt mehr „Wir sind in Sicherheit“ als ein zehn Jahre alter Käfer, der immer noch Chaos verursacht. 🧨

Das Protokoll unterhält ein Live-Bug-Bounty-Programm mit Belohnungen von bis zu 200.000 US-Dollar für kritische Entdeckungen, obwohl noch kein Wiederherstellungspfad bekannt gegeben wurde. Denn nichts sagt so sehr, dass wir die Sicherheit ernst nehmen, als eine Prämie anzubieten, die geringer ist als der verlorene Betrag. 💸

Die Bewegung in der Kette verstärkt sich nach dem Liquiditätsabfluss

Kurz nach dem Zusammenbruch des Pools meldete der X-Benutzer Togbo mehrere Bewegungen von 100 ETH-Chargen, die über Tornado Cash liefen. Insgesamt wurden in den Stunden nach dem Exploit rund 1.000 ETH gemischt. Der Angreifer behält immer noch zusätzliche Vermögenswerte im Wert von mehreren Millionen Dollar über mehrere Wallets hinweg. Es ist, als würde der Angreifer ein Spiel spielen: „Wie oft kann man eine Million Dollar verstecken, bevor es jemand bemerkt?“ und die Antwort ist „ziemlich viel.“ 🎯

einige andere Balancer-bezogene Dinge, die angesichts der starken Interaktionen mit Tornado

yearn, Rocket Pool, Origin, Dinero und anderen LST wie ein Exploit aussehen

– Togbe (@Togbe0x), 30. November 2025

Der yETH-Pool verfügte vor dem Verstoß über etwa 11 Millionen US-Dollar, und während die endgültige Verlustzahl noch überprüft wird, sagte Yearn, dass die Benutzergelder in aktiven Tresoren weiterhin sicher seien. Denn nichts sagt mehr „Wir sind vertrauenswürdig“ als ein Protokoll, das 3 Millionen US-Dollar verloren hat, aber immer noch behauptet, alles sei in Ordnung. 🤝

Dieser Vorfall ergänzt die lange Erfolgsbilanz des Protokolls bei der Bewältigung von Altrisiken, die Jahre nach seinem yDAI-Exploit im Jahr 2021 und einer Fehlkonfiguration des Finanzministeriums im Jahr 2023 erfolgt, die keine Auswirkungen auf die Einleger hatte. YFI rutschte nach dem Ereignis um etwa 4 % ab und wurde bei Redaktionsschluss bei etwa 4.002 US-Dollar gehandelt. Zusammenfassend lässt sich sagen, dass Yearn Finance im Grunde das finanzielle Äquivalent eines Hauses mit undichtem Dach ist – es ist nicht das Ende der Welt, aber Sie möchten auf keinen Fall derjenige sein, der die Reparaturen bezahlt. 🏡

Weiterlesen

2025-12-01 06:31