Yearn Finance verliert 9 Millionen $ bei Exploit des yETH-Vaults

01. Dezember 2025, 11:26 Uhr · Quelle: cryptoBro

Yearn Finance wurde durch einen Exploit zum Verlust von 9 Millionen $ gezwungen. Die Untersuchung deckt Schwachstellen im yETH-Vertrag auf, die weitere Risiken aufzeigen.

Yearn Finance hat einen schweren Sicherheitsvorfall erlitten, der zum Verlust von etwa 9 Millionen $ führte.

Der Exploit zielte auf einen veralteten Stable-Swap-Pool ab, der mit dem yETH-Token des Protokolls in Verbindung stand und es den Hackern ermöglichte, eine unbegrenzte Anzahl von Coins zu prägen.

Schwachstelle im yETH-Vertrag

Das Blockchain-Sicherheitsunternehmen Peckshield war das erste, das den Vorfall über X kennzeichnete und erklärte: “Yearn Finance suffered an attack resulting in a total loss of ~$9M.”

Laut den Analysten nutzte der Angreifer eine kritische Schwachstelle im yETH-Token-Vertrag aus, die es ihm ermöglichte, neue yETH ohne ausreichende Sicherheiten zu prägen und so das Token-Angebot nach Belieben zu erhöhen. Diese Lücke wurde dann genutzt, um Liquidität aus einem Pool außerhalb der Kern-Vault-Produkte von Yearn abzuziehen.

Ziel des Angriffs war ein maßgeschneiderter Vertrag, der darauf ausgelegt ist, gestakete Ethereum-Derivate wie stETH und rETH zu aggregieren. Das Protokoll teilte später mit, dass der yUSND-Pool und die Vaults von Nerite sicher blieben und nicht von dem Protokollfehler betroffen waren. Nach dem Angriff wusch die verantwortliche Gruppe über 3 Millionen $ in gestohlenem ETH durch Tornado Cash. Derweil verbleiben die restlichen 6 Millionen $ in Form verschiedener gestaketer Ethereum-Vermögenswerte in ihrer Wallet-Adresse (0xa80d...c822) laut den neuesten Blockchain-Abtastungen.

Yearn bestätigte den Vorfall ebenfalls über X. Es wurde berichtet, dass 0,9 Millionen $ aus dem yETH-WETH-Stableswap-Pool auf Curve verloren gingen, während zusätzlich 8 Millionen $ aus dem betroffenen Pool abgezogen wurden. Betroffene Benutzer wurden auch aufgefordert, ein Support-Ticket im Discord-Projektkanal zu eröffnen.

Erste Ergebnisse der Untersuchung

Die Plattform kündigte an, dass sie einen Krisenstab eingerichtet hat, bestehend aus SEAL911 und ihrem Audit-Partner Chain Security, wobei eine vollständige Post-Mortem-Untersuchung im Gange ist.

Erste Ergebnisse legen nahe, dass der Vorfall ein ähnliches technisches Komplexitätsniveau aufweist wie der jüngste Balancer-Hack. Dieser unbefugte Zugriff führte zu einem Diebstahl von mehr als 120 Millionen $ über das Hauptprotokoll der Plattform und mehrere Forks hinweg.

On-Chain-Analysten verfolgten den Balancer-Vorfall zu einem Präzisionsverlust-Bug in der festen Punkt-Arithmetik, die zur Berechnung von Skalierungsfaktoren innerhalb von Composable Stable Pools verwendet wird, die für nahezu gleiche Asset-Paare wie USDC/USDT oder WETH/stETH optimiert sind.

SlowMist teilte später mit, dass der Fehler zu subtilen, aber wiederholten Preisdiskrepanzen während Swaps führte, insbesondere wenn Angreifer mehrere Operationen innerhalb einer einzigen Transaktion unter Verwendung der Batch-Swap-Funktion ausführten.

Der Vorfall bei Yearn folgt kurz nach dem Sicherheitsversäumnis der koreanischen Börse Upbit, das zu einem Verlust von 50 Millionen $ in Ethereum führte.

Finanzen / Crypto / Yearn Finance / DeFi / Exploit
01.12.2025 · 11:26 Uhr
[0 Kommentare]