Vào ngày 01 tháng 12, giao thức tài chính phi tập trung Yearn Finance được cho là đã bị tấn công, khi hacker rút cạn thanh khoản của pool bằng cách khai thác lỗ hổng để mint vô hạn yETH.
Theo công ty an ninh PeckShield, tổng thiệt hại từ sự cố này ước tính khoảng 9 triệu USD.
Dữ liệu blockchain cho thấy kẻ tấn công đã chuyển 1.000 ETH (khoảng 3 triệu USD) sang dịch vụ trộn tiền điện tử Tornado Cash, trong khi địa chỉ của hacker vẫn còn nắm giữ khoảng 6 triệu USD tài sản số.
01 Tổng quan sự cố: Pool yETH bị rút cạn chỉ trong thời gian ngắn
Ngày 01 tháng 12, sản phẩm Yearn Ether (yETH) của Yearn Finance đã hứng chịu một cuộc tấn công nghiêm trọng. Đây là token chỉ số tổng hợp nhiều token staking thanh khoản (LST) phổ biến.
Kẻ tấn công đã khai thác một lỗ hổng được xây dựng tinh vi để mint gần như vô hạn token yETH chỉ trong một giao dịch, nhanh chóng rút cạn toàn bộ pool thanh khoản.
Dữ liệu blockchain ghi nhận cuộc tấn công liên quan đến nhiều hợp đồng thông minh mới được triển khai, trong đó một số hợp đồng tự hủy ngay sau giao dịch, gây khó khăn cho quá trình điều tra.
Ngay sau sự cố, Yearn Finance đã đăng thông báo trên X: "Chúng tôi đang điều tra sự kiện liên quan đến pool yETH LST StableSwap. Các vault V2 và V3 của Yearn không bị ảnh hưởng."
02 Phương thức tấn công: Mint vô hạn và chuyển tài sản
Theo người dùng X có tên Togbe, cuộc tấn công được phát hiện khi theo dõi các giao dịch chuyển khoản lớn.
Togbe giải thích: "Dữ liệu chuyển khoản ròng cho thấy yETH đã bị mint vượt mức, cho phép hacker rút cạn pool và thu lợi khoảng 1.000 ETH."
Trong quá trình tấn công, một phần ETH đã bị mất vì lý do chưa rõ, nhưng cuối cùng hacker vẫn thu được lợi nhuận.
Sau khi chiếm đoạt tài sản, hacker đã chuyển 1.000 ETH (trị giá khoảng 3 triệu USD) vào Tornado Cash—giao thức bảo mật phi tập trung thường được dùng để che giấu dòng tiền.
Dữ liệu từ PeckShield cho thấy địa chỉ của hacker vẫn còn nắm giữ khoảng 6 triệu USD tài sản số.
03 Tornado Cash: Công cụ bảo mật và tranh cãi về rửa tiền
Tornado Cash là giao thức bảo mật phi tập trung trên Ethereum, sử dụng công nghệ zero-knowledge proof nhằm giúp người dùng ẩn danh các chi tiết giao dịch.
Giao thức này cung cấp khả năng bảo vệ quyền riêng tư bằng cách cắt đứt liên kết trên chuỗi giữa địa chỉ gửi và nhận.
Tuy nhiên, tính năng này cũng khiến Tornado Cash trở thành công cụ ưa thích của hacker khi muốn rửa tiền.
Tháng 8 năm 2022, Bộ Tài chính Mỹ đã đưa Tornado Cash vào danh sách trừng phạt, với lý do nhóm hacker Lazarus đã sử dụng nền tảng này để rửa hàng trăm triệu USD kể từ năm 2019.
Đến tháng 3 năm 2025, Tornado Cash đã được gỡ khỏi danh sách trừng phạt của Bộ Tài chính Mỹ—một diễn biến được xem là thắng lợi lớn cho ngành blockchain.
04 Lịch sử an ninh của Yearn Finance
Đây không phải lần đầu tiên Yearn Finance gặp sự cố bảo mật.
Năm 2021, giao thức này từng bị tấn công vào vault yDAI, gây thiệt hại 11 triệu USD, trong đó hacker thu lợi 2,8 triệu USD.
Tháng 12 năm 2023, một lỗi script đã khiến một vị thế trong vault mất 63%, tuy nhiên tài sản người dùng không bị ảnh hưởng.
Yearn Finance được ra mắt năm 2020 bởi nhà sáng lập Andre Cronje, người đã rời dự án sau hai năm.
05 Tác động thị trường và bối cảnh suy giảm chung của crypto
Vụ tấn công diễn ra trong bối cảnh thị trường tiền mã hóa sụt giảm mạnh.
Sáng ngày 01 tháng 12, giá Bitcoin có lúc rơi xuống dưới 86.000 USD, giảm hơn 5% chỉ trong một ngày; Ethereum cũng đánh mất mốc 2.900 USD.
Theo dữ liệu từ Coinglass, hơn 500 triệu USD hợp đồng crypto đã bị thanh lý trên toàn mạng lưới trong 24 giờ, ảnh hưởng đến 177.200 nhà giao dịch.
Đợt giảm giá này có thể liên quan đến tin đồn Chủ tịch Cục Dự trữ Liên bang Mỹ Jerome Powell sẽ từ chức, dù các hãng truyền thông lớn nước ngoài chưa đưa tin và giới phân tích cho rằng đây nhiều khả năng là tin giả.
06 Phản ứng của ngành và triển vọng tương lai
Mỗi sự cố hack lại đặt ra những câu hỏi mới về an ninh DeFi.
Trong vụ Tornado Cash, Bộ Tư pháp Mỹ đã khởi tố hình sự các đồng sáng lập Roman Storm và Roman Semenov vào tháng 8 năm 2023, cáo buộc họ âm mưu rửa tiền, vận hành dịch vụ chuyển tiền không giấy phép và vi phạm quy định trừng phạt.
Các tổ chức trong ngành đã lên tiếng phản đối, với Coin Center nhận định: "Việc coi phát triển phần mềm mã nguồn mở là tội phạm sẽ kìm hãm đổi mới công nghệ."
Đối với các nhà đầu tư tổ chức, vụ Tornado Cash cho thấy cơ quan quản lý hiện kỳ vọng doanh nghiệp phải chủ động tuân thủ, không chỉ dừng lại ở xác minh danh tính đối tác.
Các tổ chức cần triển khai hệ thống giám sát blockchain theo thời gian thực kết hợp với sàng lọc tự động các lệnh trừng phạt, nhằm phát hiện và ngăn chặn giao dịch rủi ro trước khi chúng xảy ra.
Triển vọng
Công ty bảo mật blockchain PeckShield ước tính tổng thiệt hại từ vụ tấn công này khoảng 9 triệu USD, trong đó khoảng 3 triệu USD đã được chuyển vào Tornado Cash và khoảng 6 triệu USD tài sản số vẫn còn trong địa chỉ của hacker.
Tính đến thời điểm đăng bài, đội ngũ Yearn Finance vẫn đang tiếp tục điều tra sự cố và xác nhận các vault V2 và V3 không bị ảnh hưởng. Sự kiện này một lần nữa cho thấy thách thức dai dẳng của DeFi trong việc cân bằng giữa an ninh và tuân thủ quy định.
