Yearn Financeへのエクスプロイト：280万YETH攻撃

Yearn Financeは日曜日の夜遅く、同社のyETH製品に影響を与えるアクティブなエクスプロイトを確認しました。インシデントは、攻撃者が事実上無制限の量のyETHを鋳造することに成功した後に発生し、その結果、バランサーのプールから流動性が流出しました。

この事件は、トルネードキャッシュを経由した複数の100ETH取引を含む、激しいオンチェーンの動きを引き起こしました。

「infinite-mint」攻撃と流動性の流出

ブロックチェーンデータによると、悪意のあるウォレットが「infinite-mint」として知られる攻撃を実行した11月30日21時11分（UTC）ごろ、エクスプロイトが発生しました。

ナンセンのアラートシステムは後にこの攻撃を確認し、YearnのVaultインフラストラクチャではなく、yETHトークンコントラクトにおける「infinite-mint」の脆弱性であると特定しました。新しく鋳造されたyETHプールを悪用することで、攻撃者はバランサーの流動性プールから実物資産（主にETHとLST（Liquid Staking Tokens））を流出させることができた。

バランサーに関連する他のいくつかの動きは、トルネードとの激しいやり取りを考慮すると、悪用のように見えます。Togbe氏はXで、Yearn、Rocket Pool、Origin、Dinero、その他のLSTが関与していると述べています。

未攻撃システムと攻撃後のリサイクル

約1.000ETHが送金され、Tornado Cashを通じて「リサイクル」されました。

Yearnはコミュニティを安心させるために、V2およびV3 Vaultsはこの攻撃の影響を受けていないと述べています。

ヤーンはコミュニティを安心させるために、同社のV2およびV3保管庫は攻撃の影響を受けなかったと発表しました。

YFIトークンの奇妙な「ショートスクイーズ」

市場の反応は予想外の異変を引き起こしました。ソーシャルメディア上でエクスプロイトが報告された直後、YearnのガバナンストークンであるYFIの価格は急上昇し、1時間足らずで約4,080ドルから4,160ドル以上にまで高騰しました。

この異常な高騰は、事件発生直後の市場の誤った解釈によるもののようです。最初の、そして一般的な、「Yearn's exploit」の報告は、トレーダーがYFIで高レバレッジのショートポジションを建てるよう促しました。攻撃はYETHに限定されており、主要なVaultsには影響がなかったため、空売りはすぐにポジションのヘッジを開始しました。

この強制的な閉鎖はショートのスクイーズを引き起こし、その後のボラティリティによる価格急騰を引き起こしました。33,984トークンしか流通していないYFIは、DeFiで最も流動性の低いガバナンス資産の1つであり、値動きを大きく増幅させる構造となっています。

当面の間、損失はエクスプロイトの影響を受けたyETHプールとバランサープールに限られているようです。調査はまだ進行中であり、盗まれた資産の回復オプションが存在するかどうかは不明である。市場は、根本的な原因、パッチの取り組み、および潜在的なガバナンスアクションの詳細について、Yearnからの正式な開示を待っています。