1 декабря децентрализованный финансовый протокол Yearn Finance, как сообщается, подвергся атаке: злоумышленники опустошили его пул ликвидности, выпустив неограниченное количество токенов yETH.
По данным компании PeckShield, специализирующейся на блокчейн-безопасности, общий ущерб от инцидента оценивается примерно в 9 миллионов долларов.
Согласно данным блокчейна, злоумышленник уже перевёл 1 000 ETH (примерно 3 миллиона долларов) в криптовалютный миксер Tornado Cash, при этом на его адресе до сих пор хранится криптоактивов примерно на 6 миллионов долларов.
01 Обзор инцидента: пул yETH был быстро опустошён
1 декабря продукт Yearn Ether (yETH) от Yearn Finance подвергся масштабной атаке. Данный продукт представляет собой индексный токен, агрегирующий несколько популярных токенов ликвидного стейкинга (LST).
Злоумышленник воспользовался тщательно подготовленной уязвимостью, что позволило ему в рамках одной транзакции выпустить практически неограниченное количество токенов yETH и оперативно вывести всю ликвидность из пула.
Анализ блокчейна показывает, что атака была реализована с помощью нескольких только что развернутых смарт-контрактов, часть которых самоуничтожилась сразу после совершения транзакции, что затруднило расследование.
После инцидента команда Yearn Finance опубликовала заявление в X: «Мы расследуем событие, связанное с пулом yETH LST StableSwap. Хранилища Yearn V2 и V3 не затронуты».
02 Механизм атаки: неограниченная эмиссия и вывод средств
По информации пользователя X с ником Togbe, атака была выявлена в ходе мониторинга крупных переводов.
Togbe пояснил: «Сетевые переводы показывают, что yETH был чрезмерно эмитирован, что позволило злоумышленнику каким-то образом опустошить пул и получить прибыль примерно в 1 000 ETH».
Во время атаки часть ETH по неизвестным причинам была утеряна, однако злоумышленник всё равно остался в плюсе.
После получения средств атакующий перевёл 1 000 ETH (около 3 миллионов долларов) в Tornado Cash — децентрализованный протокол для обеспечения приватности, который часто используется для сокрытия происхождения средств.
По данным PeckShield, на адресе злоумышленника до сих пор хранится криптоактивов примерно на 6 миллионов долларов.
03 Tornado Cash: инструмент приватности и споры о легализации отмывания средств
Tornado Cash — децентрализованный протокол приватности на базе Ethereum, использующий технологию доказательств с нулевым разглашением (zero-knowledge proofs) для сокрытия деталей транзакций пользователей.
Протокол обеспечивает защиту приватности, разрывая связь между адресами депозита и вывода на блокчейне.
Однако именно эта функция приватности сделала Tornado Cash популярным инструментом среди хакеров, стремящихся отмывать похищенные средства.
В августе 2022 года Министерство финансов США внесло Tornado Cash в санкционный список, сославшись на то, что хакерская группировка Lazarus использовала платформу для отмывания сотен миллионов долларов с 2019 года.
В марте 2025 года Tornado Cash был исключён из санкционного списка Минфина США — событие, которое многие в блокчейн-индустрии расценили как значительную победу.
04 История инцидентов безопасности Yearn Finance
Это не первый случай, когда Yearn Finance сталкивается с проблемами безопасности.
В 2021 году протокол подвергся атаке на хранилище yDAI, в результате чего был нанесён ущерб на 11 миллионов долларов, а хакеры получили прибыль в размере 2,8 миллиона долларов.
В декабре 2023 года из-за ошибки в скрипте одна из позиций в хранилище потеряла 63% стоимости, однако средства пользователей не пострадали.
Yearn Finance был запущен в 2020 году основателем Андре Кронье, который покинул проект спустя два года.
05 Влияние на рынок и общий спад на крипторынке
Атака произошла на фоне резкого падения криптовалютного рынка.
Утром 1 декабря цена биткоина ненадолго опустилась ниже отметки 86 000 долларов, снизившись более чем на 5% за сутки; Ethereum также потерял позиции выше уровня 2 900 долларов.
По данным Coinglass, за 24 часа на рынке было ликвидировано криптоконтрактов на сумму более 500 миллионов долларов, что затронуло 177 200 трейдеров.
Снижение рынка может быть связано с распространившимися слухами о возможной отставке главы Федеральной резервной системы Джерома Пауэлла, однако ведущие зарубежные СМИ эту информацию не подтверждают, а аналитики считают слухи маловероятными.
06 Реакция отрасли и перспективы
Каждый инцидент с взломом поднимает новые вопросы о безопасности DeFi.
В случае с Tornado Cash Министерство юстиции США в августе 2023 года предъявило уголовные обвинения сооснователям Роману Шторму и Роману Семёнову, обвинив их в сговоре с целью отмывания денег, ведении нелицензированной деятельности по переводу средств и нарушении санкционного законодательства.
Профильные организации выразили протест: по заявлению Coin Center, «рассматривать разработку открытого программного обеспечения как преступление — это удар по технологическим инновациям».
Для институциональных инвесторов кейс Tornado Cash показателен: теперь регуляторы ожидают от участников рынка не только проверки контрагентов, но и проактивного соблюдения нормативных требований.
Институциям необходимо внедрять системы мониторинга блокчейна в реальном времени в сочетании с автоматизированной проверкой на санкции, чтобы выявлять и блокировать сомнительные транзакции ещё до их совершения.
Перспективы
По оценке PeckShield, общий ущерб от этой атаки составляет около 9 миллионов долларов: примерно 3 миллиона уже переведены в Tornado Cash, а на адресе злоумышленника до сих пор остаётся криптоактивов примерно на 6 миллионов долларов.
На момент публикации команда Yearn Finance продолжает расследование инцидента и подтверждает, что хранилища V2 и V3 не пострадали. Этот случай вновь подчёркивает, с какими вызовами сталкивается DeFi-сектор в поиске баланса между безопасностью и соблюдением нормативных требований.
