Yearn Finance erleidet eine Sicherheitslücke in Höhe von 9$ Mio, da Angreifer endlose yETH-Token erstellt

01. Dezember 2025, 14:18 Uhr · Quelle: BTCStar

bitcoin, crypto, finance, coin, money, currency, cryptocurrency, blockchain, investment, closeup, bitcoin, bitcoin, bitcoin, bitcoin, bitcoin, crypto, cryptocurrency

Ein Exploit bei Yearn Finance ermöglichte endlose yETH-Tokens, was 9 Millionen Dollar kostete. Das Team isoliert den Schaden und verbessert die Sicherheit.

Yearn Finance berichtet, dass ein altes yETH-Produkt von einem Exploit betroffen war, der einem Angreifer ermöglichte, eine enorme Menge gefälschter Tokens zu generieren und diese gegen reale Vermögenswerte einzutauschen.

Laut On-Chain-Warnungen und Protokollaussagen erzeugte der Angreifer in einer einzigen Transaktion ein nahezu unendliches Angebot an yETH und nutzte diese Tokens, um ETH und Liquid-Staking-Derivate aus Liquiditätspools zu ziehen.

Der Vorfall wurde erstmals am 30. November 2025 gemeldet und der Gesamtschaden wird auf etwa 9$ Millionen geschätzt.

#PeckShieldAlert Yearn Finance @yearnfi suffered an attack resulting in a total loss of ~9$M.

The exploit involved minting a near-infinite number of yETH tokens, depleting the pool in a single transaction.

~1K $ETH (worth ~3$M) was sent to #TornadoCash, while the exploiter’s… pic.twitter.com/IXNygpwoWa

— PeckShieldAlert (@PeckShieldAlert) December 1, 2025

Wie der Exploit funktionierte

Basierend auf Berichten nutzte der Angreifer eine Schwachstelle in der yETH-Präge-Logik aus und produzierte Tokens im Umfang von 235 Billionen in einem Zug.

Diese wertlosen Tokens wurden dann gegen reale Vermögenswerte aus den mit dem Produkt verbundenen Balancer- und Curve-Pools eingetauscht, wodurch die Liquidität in Minuten erschöpft wurde. Chain-Monitore und Sicherheitsexperten zeigten, dass das Prägen und die anschließenden Swaps sehr schnell auf der Blockchain abliefen.

At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.

— yearn (@yearnfi) December 1, 2025

Welche Vermögenswerte wurden entwendet

Laut Berichten wurden etwa 8$ Millionen aus dem Haupt-yETH-Stableswap-Pool abgezogen, während etwa 0,9$ Millionen aus einem yETH-WETH-Pool genommen wurden.

Darüber hinaus wurden etwa 1.000 ETH, die zum Zeitpunkt der Transaktion auf etwa 3$ Millionen geschätzt wurden, an Tornado Cash gesendet, um die Spur zu verschleiern. Der Angreifer wandelte gefälschte yETH in eine Mischung aus ETH und Liquid-Staking-Tokens um, bevor er versuchte, die Gelder zu waschen.

Auswirkungen auf Yearns Kernprodukte

Laut Yearn-Vertretern und Folgeberichten war der Einbruch auf eine ältere, nicht mehr aktuelle Implementierung des yETH-Produkts beschränkt und betraf nicht die Haupt-V2- und V3-Tresore von Yearn.

Einzahlungen in den betroffenen Pool wurden isoliert, während das Team und externe Experten eine Untersuchung einleiteten. Diese Isolation soll den Großteil der Nutzerfonds in den aktiven Tresoren geschützt haben.

Marktreaktion und weitergehende Bedenken

Die Kryptomärkte sahen sich einem Verkaufsdruck ausgesetzt, als sich die Nachricht verbreitete, wobei Händler das Risiko abwogen, das mit der Kombination von Liquid-Staking-Tokens und maßgeschneidertem Swap-Code einhergeht.

Yearn Finance gab an, mit externen Sicherheitsteams an einer Nachbereitung und der Behebung der Schwachstelle zu arbeiten. Laut Berichten gehören zu den im Zusammenhang erwähnten Teams externe Prüfer und Blockchain-Ermittler, die die gestohlenen Gelder verfolgen und beratend bei Wiederherstellungsoptionen tätig sind.

Die Benachrichtigung des Protokolls warnte Nutzer vor dem betroffenen alten Produkt und riet zu Vorsicht, während die Überprüfung fortgesetzt wird.

Finanzen / Crypto / Yearn Finance / Exploit / yETH
01.12.2025 · 14:18 Uhr
[0 Kommentare]