Yearn Finance ha confermato un exploit attivo che ha colpito il suo prodotto yETH nella tarda serata di domenica. L'incidente ha avuto luogo dopo che un aggressore è riuscito a coniare una quantità di fatto illimitata di yETH, prosciugando di conseguenza la liquidità dai pool di Balancer.
L'episodio ha innescato un'intensa movimentazione on-chain, incluse molteplici transazioni da 100 ETH instradate attraverso Tornado Cash.
L'Attacco 'Infinite-Mint' e il Drenaggio di Liquidità
Secondo i dati della blockchain, l'exploit è avvenuto intorno alle 21:11 UTC del 30 novembre, quando un wallet malevolo ha eseguito un attacco noto come "infinite-mint" (conio infinito). Con una singola transazione, l'aggressore ha creato l'enorme cifra di circa 235 trilioni di yETH.
Il sistema di allerta di Nansen ha successivamente confermato l'attacco e ha identificato l'evento come una vulnerabilità "infinite-mint" nel contratto del token yETH, e non nell'infrastruttura Vault di Yearn. Sfruttando la massa di yETH appena coniata, l'attaccante ha potuto drenare asset reali – principalmente ETH e Token di Staking Liquido (LSTs) – dai pool di liquidità di Balancer. Le prime stime suggeriscono che siano stati sottratti asset per un valore complessivo di circa $2,8 milioni.
Alcuni altri movimenti legati a Balancer sembrano un exploit, considerando le pesanti interazioni con Tornado. Togbe ha detto su X che sono coinvolti Yearn, Rocket Pool, Origin, Dinero e altri LST.
I Sistemi Non Colpiti e il Riciclaggio Post-Attacco
Poco dopo l'attacco, circa 1.000 ETH sono stati trasferiti e "riciclati" attraverso Tornado Cash. L'aggressore ha mostrato una pianificazione meticolosa, impiegando diversi helper contracts (contratti ausiliari) che erano stati dispiegati pochi minuti prima dell'incidente e si sono autodistrutti subito dopo per oscurare il percorso delle transazioni.
Yearn ha voluto rassicurare la comunità, dichiarando che i suoi Vaults V2 e V3 non sono stati interessati dall'attacco. La vulnerabilità, come precedentemente notato, appare limitata esclusivamente alla vecchia implementazione di yETH. Nonostante l'incidente, il Valore Totale Bloccato (TVL) del protocollo rimane superiore ai $600 milioni, secondo CoinGecko, suggerendo che i sistemi principali e i fondi core non sono stati compromessi.
Lo Strano 'Short Squeeze' del Token YFI
La reazione del mercato ha creato un'inattesa anomalia. Subito dopo che l'exploit è stato segnalato sui social media, il prezzo del token di governance di Yearn, YFI, è aumentato bruscamente, salendo da circa $4.080 a oltre $4.160 in meno di un'ora.
Questa anomala impennata sembra essere dovuta a una cattiva interpretazione del mercato nei primi momenti dell'incidente. Le iniziali, e generiche, segnalazioni di un "exploit di Yearn" hanno spinto i trader ad aprire posizioni short ad alta leva su YFI. Dato che l'attacco era isolato a yETH e non aveva colpito i principali Vaults, gli short-seller hanno rapidamente iniziato a coprire le loro posizioni.
Questa chiusura forzata ha innescato un breve short squeeze e una conseguente impennata del prezzo guidata dalla volatilità. Con una fornitura circolante di soli 33.984 token, YFI è uno degli asset di governance DeFi meno liquidi, una struttura che amplifica notevolmente i movimenti di prezzo.
Per il momento, le perdite sembrano essere confinate ai pool di yETH e Balancer toccati dall'exploit. Le indagini sono ancora in corso, e non è chiaro se esistano opzioni di recupero per gli asset rubati. I mercati attendono una divulgazione formale da parte di Yearn che dettagli la causa principale, gli sforzi di patching e le potenziali azioni di governance.
