Yearn Finance bevestigde zondag een actieve exploit die zijn yETH-product heeft beïnvloed, nadat een aanvaller een feitelijk onbeperkte hoeveelheid yETH had gemint en liquiditeit uit Balancer-pools had weggenomen.
Het incident veroorzaakte veel on-chain bewegingen, waaronder meerdere 100 ETH-overdrachten die via Tornado Cash liepen.
SponsoredInfinite-mint aanval laat liquiditeit uit Balancer pools weglekken
Volgens blockchain-data vond de exploit plaats rond 21:11 UTC op 30 november, toen een schadelijke wallet een oneindige-mint aanval uitvoerde die ongeveer 235 biljoen yETH in één transactie creëerde.
Het alertsysteem van Nansen bevestigde later de aanval en identificeerde het als een oneindige-mint kwetsbaarheid in het yETH-token contract, niet in Yearn’s Vault infrastructuur.
De aanvaller gebruikte de nieuw geminte yETH om echte activa — voornamelijk ETH en Liquid Staking Tokens (LST’s) — uit Balancer-liquiditeitspools te trekken. Vroege schattingen suggereren dat er ongeveer $2,8 miljoen aan activa is verwijderd.
Ongeveer 1.000 ETH werd kort na de aanval via Tornado Cash witgewassen. Verschillende helpercontracten die bij de exploit werden gebruikt, werden minuten voor het incident ingezet en vernietigden zichzelf daarna om het spoor te verbergen.
Yearn verklaarde dat V2 en V3 Vaults niet werden beïnvloed, en de kwetsbaarheid lijkt beperkt tot de oudere yETH-implementatie.
Volgens CoinGecko blijft de Total Value Locked (TVL) van het protocol boven de $600 miljoen, wat suggereert dat de kernsystemen niet zijn gecompromitteerd.
Koers YFI stijgt terwijl markt initieel paniek omkeert
Echter, de marktreactie creëerde een onverwachte dynamiek. Kort nadat de exploit op sociale media en door blockchain-analisten werd gemeld, steeg de koers van YFI scherp, van bijna $4.080 naar meer dan $4.160 binnen een uur.
SponsoredDe beweging kwam ondanks de negatieve krantenkoppen over het bredere Yearn-ecosysteem.
De koersreactie lijkt verbonden aan marktmisinterpretatie in de vroege minuten van het incident. Initiële claims van een “Yearn-exploit” leidden tot hoge hefboom shortposities op YFI, gezien de dunne liquiditeit van de token en historisch agressieve bewegingen naar beneden tijdens hack-evenementen.
De aanval was geïsoleerd tot yETH en niet tot Yearn’s Vaults, en short-sellers begonnen hun posities te dekken. Dit veroorzaakte een korte short squeeze en een door volatiliteit aangedreven koerspiek.
De circulerende voorraad van YFI is slechts 33.984 tokens, waardoor het een van de meest illiquide grote DeFi-governance-assets is. Deze structuur versterkt koersbewegingen, vooral tijdens perioden van onzekerheid of snelle liquidatiestromen. Derivatengegevens toonden ook verhoogde volatiliteit in de funding rate direct na de exploitmelding.
Voorlopig lijken de verliezen beperkt tot de yETH en Balancer-pools die door de exploit zijn geraakt. Onderzoeken zijn nog gaande en het is onduidelijk of er herstelopties bestaan voor de gestolen activa.
Markten zullen waarschijnlijk uitkijken naar een formele Yearn-onthulling over de hoofdoorzaak, herstelinspanning en mogelijke governance-acties.
