Yearn Finance забезпечує відшкодування в $2.4M після експлойту yETH

Джерело: DefiPlanet Оригінальна назва: Yearn Finance отримує 2,4 мільйона доларів США після експлуатації yETH Оригінальне посилання: https://defi-planet.com/2025/12/yearn-finance-secures-2-4m-recovery-after-yeth-exploit/

Частковий відскок після нападу в листопаді

Yearn Finance зробив великий крок до пом'якшення наслідків свого експлойту yETH наприкінці листопада, оголосивши про відновлення 2,4 мільйона доларів з $9 мільйона, які були вкрадені з протоколу. Оновлення надійшло 1 грудня, команда підтвердила, що 857,49 pxETH, пов'язаних з атакуючим, було успішно відстежено та повернуто. Всі відновлені кошти будуть повернені постраждалим користувачам.

оновлення yETH: За допомогою команд Plume та Dinero було проведено координоване відновлення 857.49 pxETH ($2.39m). Зусилля з відновлення залишаються активними та тривають. Будь-які активи, які будуть успішно відновлені, будуть повернуті постраждалим вкладникам.

Що пішло не так: Помилка пулу yETH Legacy

Експлуатація сталася 30 листопада о 21:11 UTC, націлившись на спадковий пул yETH stableswap Yearn, контракт, побудований з використанням власного коду, а не стандартних реалізацій.

Тонка, але критична арифметична помилка дозволила зловмиснику створити надто велику кількість yETH в одній транзакції, що дозволило йому викачати приблизно $8 мільйон з пулу stableswap і ще $900,000 з пулу yETH-WETH.

Yearn підкреслив, що його широко використовувані сховища V2 та V3, які разом забезпечують понад $600 мільйон, залишилися недоторканими. Команди безпеки з Yearn, SEAL 911 та ChainSecurity негайно перейшли до режиму реагування в кризовій кімнаті після порушення, і зараз триває всебічний аналіз ситуації.

Як відбувалося відновлення

Хоча частини вкраденого ETH швидко проходили через приватні змішувачі, зменшуючи шанси на повне відновлення, кілька токенів ліквідного стекингу, пов'язаних з експлоїтером, залишалися відстежуваними.

pxETH, відновлений у цьому оновленні, не був змішаний або конвертований, що дозволило Yearn у партнерстві з Plume та Dinero нейтралізувати позиції експлуататора та перенаправити вартість назад до протоколу.

Цей підхід дозволяє постраждалим користувачам отримати компенсацію без очікування тривалих юридичних або виконавчих процесів. Yearn додав, що зусилля щодо відновлення тривають, і що додаткові активи можуть бути повернені, якщо дозволяє активність в ланцюгу.

Відповідь спільноти та що далі

Користувачам, які постраждали від експлойту, рекомендовано звертатися за підтримкою через Discord Yearn, оскільки розслідування триває. Протокол також підкреслив, що жодні інші продукти Yearn не мають скомпрометованого коду і всі старі контракти проходять повторні перевірки безпеки.