1 грудня децентралізований фінансовий протокол Yearn Finance, за повідомленнями, зазнав атаки, внаслідок якої хакери вивели ліквідність із пулу шляхом необмеженої емісії yETH.
За даними аналітичної компанії PeckShield, загальні втрати від цього інциденту оцінюються приблизно у 9 мільйонів доларів.
Блокчейн-дані свідчать, що зловмисник уже перевів 1 000 ETH (близько 3 мільйонів доларів) до криптоміксера Tornado Cash, тоді як на його адресі досі зберігаються криптоактиви на суму близько 6 мільйонів доларів.
01 Огляд інциденту: пул yETH був стрімко спустошений
1 грудня продукт Yearn Ether (yETH) від Yearn Finance зазнав масштабної атаки. Цей продукт є індексним токеном, що агрегує кілька популярних токенів ліквідного стейкінгу (LST).
Зловмисник скористався ретельно підготовленою вразливістю, що дозволила йому за одну транзакцію емісувати майже необмежену кількість токенів yETH, оперативно вивівши всю ліквідність із пулу.
Блокчейн-дані вказують, що для атаки було використано кілька новостворених смарт-контрактів, частина з яких самознищилася одразу після транзакції, що ускладнює розслідування.
Після інциденту команда Yearn Finance опублікувала заяву на X: "Ми розслідуємо подію, пов’язану з пулом yETH LST StableSwap. Сховища Yearn V2 та V3 не постраждали."
02 Механізм атаки: необмежена емісія та перекази коштів
За словами користувача X на ім’я Togbe, атаку було виявлено під час моніторингу великих переказів.
Togbe пояснив: "Чисті перекази показують, що yETH був надмірно емісований, що дозволило зловмиснику якимось чином спустошити пул і отримати прибуток близько 1 000 ETH."
Під час атаки частина ETH була втрачена з невідомих причин, однак зловмисник усе одно залишився у виграші.
Після отримання коштів атакуючий перевів 1 000 ETH (приблизно 3 мільйони доларів) у Tornado Cash — децентралізований протокол для забезпечення приватності, який часто використовують для ускладнення відстеження руху коштів.
За даними PeckShield, на адресі зловмисника досі зберігаються криптоактиви на суму близько 6 мільйонів доларів.
03 Tornado Cash: інструмент приватності та суперечки щодо відмивання коштів
Tornado Cash — це децентралізований протокол приватності на базі Ethereum, який використовує технологію zero-knowledge proof для приховування деталей транзакцій користувачів.
Протокол забезпечує захист приватності, розриваючи зв’язок у блокчейні між адресами депозиту та виведення коштів.
Однак саме ця функція приватності зробила Tornado Cash одним із улюблених інструментів хакерів для відмивання коштів.
У серпні 2022 року Міністерство фінансів США внесло Tornado Cash до санкційного списку, зазначивши, що група хакерів Lazarus використовувала платформу для відмивання сотень мільйонів доларів із 2019 року.
У березні 2025 року Tornado Cash нарешті було виключено зі списку санкцій Мінфіну США — цю подію вважають важливою перемогою для блокчейн-індустрії.
04 Історія безпеки Yearn Finance
Це не перший випадок, коли Yearn Finance стикається з інцидентами безпеки.
У 2021 році протокол зазнав атаки, що торкнулася сховища yDAI і призвела до втрат у розмірі 11 мільйонів доларів, з яких хакери отримали чистий прибуток у 2,8 мільйона доларів.
У грудні 2023 року через помилку у скрипті було втрачено 63% позиції в одному зі сховищ, однак кошти користувачів не постраждали.
Yearn Finance був запущений у 2020 році засновником Андре Кроньє, який залишив проєкт через два роки.
05 Вплив на ринок і загальне падіння криптоіндустрії
Атака відбулася на тлі різкого падіння ринку криптовалют.
Вранці 1 грудня курс Bitcoin короткочасно опускався нижче 86 000 доларів, втративши понад 5% за добу; Ethereum також не втримався вище позначки 2 900 доларів.
За даними Coinglass, за 24 години було ліквідовано понад 500 мільйонів доларів у криптоконтрактах по всій мережі, що зачепило 177 200 трейдерів.
Це падіння ринку може бути пов’язане з чутками про можливу відставку голови Федеральної резервної системи Джерома Пауелла, хоча провідні зарубіжні ЗМІ цього не підтверджують, а аналітики вважають ці чутки малоймовірними.
06 Реакція індустрії та перспективи
Кожен хакерський інцидент ставить нові питання щодо безпеки DeFi.
У справі Tornado Cash Міністерство юстиції США у серпні 2023 року висунуло кримінальні звинувачення співзасновникам Роману Сторму та Роману Семенову, інкримінуючи їм змову з метою відмивання коштів, діяльність без ліцензії на грошові перекази та порушення санкційного законодавства.
Профільні організації виступили із критикою, і Coin Center заявив: "Криміналізація розробки відкритого програмного забезпечення — це удар по технологічним інноваціям."
Для інституційних інвесторів справа Tornado Cash демонструє, що регулятори очікують не лише перевірки контрагентів, а й проактивного дотримання комплаєнсу.
Установам необхідно впроваджувати системи моніторингу блокчейну в реальному часі у поєднанні з автоматизованим санкційним скринінгом, щоб виявляти та блокувати підозрілі транзакції до їхнього здійснення.
Перспективи
Аналітична компанія PeckShield оцінює загальні втрати від цієї атаки приблизно у 9 мільйонів доларів, з яких близько 3 мільйонів уже переведено у Tornado Cash, а криптоактиви на суму близько 6 мільйонів доларів досі перебувають на адресі зловмисника.
Станом на момент публікації команда Yearn Finance продовжує розслідування інциденту та підтвердила, що сховища V2 і V3 не постраждали. Ця подія ще раз підкреслює постійні виклики, з якими стикається DeFi у питанні балансу між безпекою та дотриманням регуляторних вимог.
