Exploit su Yearn Finance: attacco yETH da 2,8 milioni

Yearn Finance ha confermato un exploit attivo che ha colpito il suo prodotto yETH nella tarda serata di domenica. L'incidente ha avuto luogo dopo che un aggressore è riuscito a coniare una quantità di fatto illimitata di yETH, prosciugando di conseguenza la liquidità dai pool di Balancer.

L'episodio ha innescato un'intensa movimentazione on-chain, incluse molteplici transazioni da 100 ETH instradate attraverso Tornado Cash.

L'Attacco 'Infinite-Mint' e il Drenaggio di Liquidità

Secondo i dati della blockchain, l'exploit è avvenuto intorno alle 21:11 UTC del 30 novembre, quando un wallet malevolo ha eseguito un attacco noto come "infinite-mint" (conio infinito). Con una singola transazione, l'aggressore ha creato l'enorme cifra di circa 235 trilioni di yETH.

Il sistema di allerta di Nansen ha successivamente confermato l'attacco e ha identificato l'evento come una vulnerabilità "infinite-mint" nel contratto del token yETH, e non nell'infrastruttura Vault di Yearn. Sfruttando la massa di yETH appena coniata, l'attaccante ha potuto drenare asset reali – principalmente ETH e Token di Staking Liquido (LSTs) – dai pool di liquidità di Balancer. Le prime stime suggeriscono che siano stati sottratti asset per un valore complessivo di circa $2,8 milioni.

Alcuni altri movimenti legati a Balancer sembrano un exploit, considerando le pesanti interazioni con Tornado. Togbe ha detto su X che sono coinvolti Yearn, Rocket Pool, Origin, Dinero e altri LST.

I Sistemi Non Colpiti e il Riciclaggio Post-Attacco

Poco dopo l'attacco, circa 1.000 ETH sono stati trasferiti e "riciclati" attraverso Tornado Cash. L'aggressore ha mostrato una pianificazione meticolosa, impiegando diversi helper contracts (contratti ausiliari) che erano stati dispiegati pochi minuti prima dell'incidente e si sono autodistrutti subito dopo per oscurare il percorso delle transazioni.

Yearn ha voluto rassicurare la comunità, dichiarando che i suoi Vaults V2 e V3 non sono stati interessati dall'attacco. La vulnerabilità, come precedentemente notato, appare limitata esclusivamente alla vecchia implementazione di yETH. Nonostante l'incidente, il Valore Totale Bloccato (TVL) del protocollo rimane superiore ai $600 milioni, secondo CoinGecko, suggerendo che i sistemi principali e i fondi core non sono stati compromessi.

Lo Strano 'Short Squeeze' del Token YFI

La reazione del mercato ha creato un'inattesa anomalia. Subito dopo che l'exploit è stato segnalato sui social media, il prezzo del token di governance di Yearn, YFI, è aumentato bruscamente, salendo da circa $4.080 a oltre $4.160 in meno di un'ora.

Questa anomala impennata sembra essere dovuta a una cattiva interpretazione del mercato nei primi momenti dell'incidente. Le iniziali, e generiche, segnalazioni di un "exploit di Yearn" hanno spinto i trader ad aprire posizioni short ad alta leva su YFI. Dato che l'attacco era isolato a yETH e non aveva colpito i principali Vaults, gli short-seller hanno rapidamente iniziato a coprire le loro posizioni.

Questa chiusura forzata ha innescato un breve short squeeze e una conseguente impennata del prezzo guidata dalla volatilità. Con una fornitura circolante di soli 33.984 token, YFI è uno degli asset di governance DeFi meno liquidi, una struttura che amplifica notevolmente i movimenti di prezzo.

Per il momento, le perdite sembrano essere confinate ai pool di yETH e Balancer toccati dall'exploit. Le indagini sono ancora in corso, e non è chiaro se esistano opzioni di recupero per gli asset rubati. I mercati attendono una divulgazione formale da parte di Yearn che dettagli la causa principale, gli sforzi di patching e le potenziali azioni di governance.