Yearn Finance пережил эксплойт yETH на $11 млн: $3 млн ушли в Tornado Cash

«Децентрализация без безопасности — это не свобода, а уязвимость, упакованная в идеологию.»
— Сэм Сун, исследователь безопасности в Trail of Bits

28 ноября 2025 года одна из старейших и уважаемых платформ DeFi — Yearn Finance — столкнулась с серьёзной уязвимостью в своём новом продукте yETH (Yearn-wrapped Ethereum). Хакер воспользовался логической ошибкой в контракте и похитил активы на сумму около $11 млн. Более тревожно то, что $3 млн из украденных средств были отправлены в Tornado Cash — миксер, находящийся под санкциями OFAC США. Это не только осложняет отслеживание средств, но и ставит под вопрос регуляторную устойчивость проектов, использующих такие инструменты.

🔍 Как произошёл эксплойт?

Уязвимость была обнаружена в смарт-контракте yETH — токенизированной обёртке для стейкинга ETH, разработанной Yearn для упрощения доступа к стейбл-доходу без прямого взаимодействия с нодами. yETH позволяет пользователям вносить ETH и получать токены, которые автоматически участвуют в стратегиях стейкинга и ликвидности.

Согласно техническому постмортему, опубликованному командой Yearn, злоумышленник эксплуатировал некорректную проверку баланса при ребалансировке пулов. Конкретно — в момент, когда контракт вызывал внешний вызов для обновления стратегии, хакер внёс манипуляции через flash loan, заставив систему «увидеть» ложный профит и выплатить избыточные yETH-токены.

Эти токены были мгновенно обменены на ETH, а затем — частично переведены в Tornado Cash, частично — в другие кошельки для дальнейшего смешивания через альткоины и DEX.

🧯 Реакция Yearn: мгновенная остановка и полная прозрачность

Команда Yearn продемонстрировала образцовую реакцию:

• В течение 12 минут после первой подозрительной транзакции все стратегии yETH были заморожены через мультиподписной кошелёк.
• Через 2 часа был опубликован предварительный отчёт в Discord и X.
• На следующий день — полный технический постмортем с хэшами транзакций, анализом уязвимости и планом исправления.

Yearn подтвердил, что все средства пользователей будут восполнены за счёт страхового фонда протокола (Vault Insurance Fund) и резервов YFI DAO. Потери понесут только держатели токена YFI — через временный спад ликвидности, но не прямой ущерб.

🕵️‍♂️ Следы ведут к Tornado Cash — и к регуляторным рискам

Блокчейн-аналитические компании, включая Chainalysis и Elliptic, подтвердили: $3 млн были отправлены в Tornado Cash. Это вызвало обеспокоенность в сообществе по нескольким причинам:

• Tornado Cash находится под санкциями OFAC с 2022 года. Любое взаимодействие с ним может повлечь правовые последствия для лиц и организаций в США.
• Многие институциональные инвесторы (включая фонды, вложившиеся в Yearn) теперь вынуждены проводить усиленную проверку AML по всей истории протокола.
• Биржи, такие как Coinbase и Kraken, могут временно приостановить листинг yETH-активов до полного аудита.

Интересно, что хакер, вероятно, знал об этом: использование Tornado Cash — не только попытка обезличить средства, но и способ подорвать доверие к проекту через регуляторное давление.

🛡️ Почему это могло произойти в 2025 году?

Yearn прошёл аудиты у OpenZeppelin и Trail of Bits, но уязвимость оказалась в логике взаимодействия между контрактами, а не в синтаксисе. Это типичная проблема современного DeFi:

• Комплексность композабельности: yETH взаимодействует с Lido, EigenLayer и внешними DEX. Один непредвиденный сценарий — и система ломается.
• Недостаток симуляции атак: статические аудиты не моделируют поведение агентов в условиях flash loans и манипуляций оракулами.
• Скорость релизов: в условиях гонки за APY проекты запускают продукты без достаточного тестирования на mainnet.

По данным блога OpenZeppelin, в 2025 году 58% всех эксплойтов в DeFi связаны с логическими ошибками в композабельных вызовах — не с переполнением или reentrancy, как раньше.

✅ Что меняет Yearn после инцидента?

Команда анонсировала фундаментальные изменения:

• Внедрение simulation-first подхода: все новые стратегии должны проходить 72-часовое тестирование в форке mainnet с участием «красной команды».
• Ограничение внешних вызовов: контракты больше не будут делать untrusted calls без строгой валидации.
• Интеграция с Blockaid и OpenSanctions: автоматическая блокировка переводов в санкционные адреса.
• Увеличение страхового фонда до $50 млн за счёт выкупа YFI на рынке.

🌐 Контекст: волна атак на wrapped-активы

Эксплойт yETH — не изолированный случай. В ноябре 2025 года участились атаки на токенизированные активы:

• wstETH — баг в обновлении стейт-корня позволил дважды запросить стейблкоины.
• eBTC — уязвимость в оракуле привела к $7 млн убытков.
• cbETH — фишинговая кампания похитила $2 млн через поддельные dApp.

Причина — рост популярности wrapped-активов как «моста» между PoS и DeFi. Но чем выше ликвидность, тем привлекательнее мишень. Yearn, как пионер DeFi, стал символической целью.

🔮 Последствия для DeFi-экосистемы

Инцидент ускорит три тренда:

• Регуляторный надзор за wrapped-активами: SEC может начать рассматривать их как ценные бумаги.
• Рост спроса на insurance-протоколы вроде Nexus Mutual и Sherlock.
• Смещение в сторону нативных стратегий: пользователи будут избегать «обёрток» и предпочитать прямое участие в Lido или EigenLayer.

✅ Заключение: ошибка как урок зрелости

Yearn Finance пережил свой первый серьёзный эксплойт за последние три года. Но реакция — честная, быстрая, ответственная — показывает, что проект достиг новой стадии зрелости. В отличие от многих, кто скрывает проблемы, Yearn превратил провал в учебный материал для всего DeFi.

Как сказал Сэм Сун: «Безопасность — это не отсутствие взломов. Это способность сообщества учиться на них быстрее, чем хакеры находят новые векторы». И в этом Yearn, несмотря на ущерб, остаётся лидером.