🔍 Co się stało z Yearn / yETH?
30 listopada 2025 roku Yearn potwierdził, że jego pool/kontrakt "yETH LST stableswap" został wykorzystany.
Wrażliwość pozwoliła atakującemu na dokonanie "nieskończonego mintowania" yETH — to znaczy: stworzono praktycznie nieograniczoną ilość fałszywych tokenów yETH.
Z tymi fałszywymi tokenami atakujący natychmiast wymienił je na prawdziwe aktywa — przede wszystkim ETH i inne tokeny pochodne od stakingu — drenując płynność z "dziedzicznego" poola yETH w ciągu kilku minut.
Według raportów, całkowita strata szacowana jest na ≈ 8–9 milionów USD.
Część skradzionych funduszy — około 1.000 ETH (około ≈ 3 milionów USD w tym momencie) — została szybko wysłana do miksującego (Tornado Cash), najwyraźniej w celu ukrycia śladów.
Yearn twierdzi, że tylko “legacy pool” yETH został dotknięty: ich obecne główne produkty — “Vaults V2/V3” — nie ucierpiały.
Natychmiast po ataku ten pool został izolowany. Władze protokołu i analitycy bezpieczeństwa rozpoczęli audyt pośmiertny, aby określić błąd i wyznaczyć odpowiedzialność.
✅ Co jest pewne — potwierdzenia oficjalne?
Że był exploit przeciwko yETH, z “nieskończonym mintem” tokenów.
Że zostały odciągnięte rzeczywiste aktywa: ETH i tokeny stakingu płynnego.
Że szacowana szkoda wynosi około 8–9 milionów USD.
Że główne produkty/“Vaults” Yearn nie są zagrożone (przynajmniej według ich oficjalnej wersji).
Że częściowo odzyskano aktywa: zgłoszono wstępne odzyskanie około 2,4 miliona USD związanych z exploitem.
#YearnFinance #YearnFinanceTurbulence
⚠️ Jakie są ryzyka i co się zmienia dla użytkowników / dla DeFi?
Ten incydent ma wiele ryzyk i konsekwencji dla społeczności DeFi:
🔐 Wrażliwość techniczna systemu: “nieskończony mint” oznacza poważny błąd logiczny w umowie — nie jest to drobny błąd. To pokazuje, że nawet duże i audytowane protokoły mogą mieć krytyczne luki, co wpływa na zaufanie do złożonych inteligentnych kontraktów.
🚨 Utrata płynności i zaufania do produktów “złożonych” lub “liquid staking + pooli”: yETH łączył pochodne z stakingu (LST) z płynnością, co dodaje warstwy złożoności: wrażliwości na dowolnej z tych warstw mogą mieć efekty kaskadowe.
💵 Rzeczywiste straty dla części społeczności: jeśli w tym konkretnym poolu byli użytkownicy, mogli zobaczyć, że ich depozyty są dotknięte. Chociaż Yearn twierdzi, że izolował pool, nie zawsze wszyscy użytkownicy mogą wyjść na czas.
🧑⚖️ Uszkodzona reputacja — zaufanie do bezpieczeństwa zmniejszone: gdy exploit uderza w uznawany protokół, wiele osób ponownie ocenia swoje zaufanie do DeFi, do inteligentnych kontraktów, i woli bardziej konserwatywne przechowywanie lub prostsze produkty.
🔁 Możliwy wzrost audytów, surowe przeglądy, mniej szybkiej innowacji: deweloperzy i projekty DeFi mogą stać się bardziej ostrożni, co spowalnia nowe wydania, innowacje lub dodaje regulatory / due diligence.
🔎 Co warto teraz obserwować
Co ujawnia audyt / “post-mortem” Yearn: jaki rodzaj błędu pozwolił na “nieskończony mint”, i czy była to znana (czy nowa) wrażliwość.
Czy Yearn uda się odzyskać więcej funduszy — już odzyskali ~2,4 miliona USD, ale wciąż brakuje pewnej części.
Jak reaguje społeczność DeFi: czy są zamieszki zaufania, ucieczka kapitału do protokołów uważanych za “bezpieczne”, czy też płynność w stakingu/LPs spada.
Czy inne projekty z podobnymi strukturami przeglądają swoje kontrakty, aby uniknąć podobnych wrażliwości: może to być techniczne przebudzenie dla całego ekosystemu.
Wpływ na cenę tokena protokołu (jeśli dotyczy), i na tokeny związane z stakingiem lub DeFi — spadki zaufania zazwyczaj wpływają nie tylko na protokół, ale także na ogólne odczucia.
Ten hack yETH Yearn pokazuje, że — mimo swojej popularności i historii — protokoły DeFi wciąż są bardzo podatne na błędy w kodzie. Exploit był poważny, z milionowymi stratami, i chociaż “główne Vaults” przetrwały, zaufanie rynku może zostać nadszarpnięte. To jest sygnał ostrzegawczy dla inwestorów, deweloperów i użytkowników: innowacje w DeFi niosą ze sobą rzeczywiste ryzyko, i nie są gwarancją całkowitego bezpieczeństwa.
