Yearn Finance’in yETH Havuzunda 9 Milyon Dolarlık Saldırı

Yearn Finance’in yETH havuzu, karmaşık bir saldırı ile 9 milyon dolar kaybetti; fonlar sofistike token basımıyla boşaltıldı.

Şevval SOYLU tarafından yayınlandı

1 Aralık 2025, 12:07 yayınlandı 1 Aralık 2025, 12:07 güncellendi

Öne Çıkan Haber Başlıkları

1 yETH Havuzuna Yönelik Saldırı
2 Erken Tespit ve Yanıt
3 Mali Kayıp ve Soruşturma
4 Yearn’in Önceki Güvenlik Olayları

yETH Havuzuna Yönelik Saldırı

Yield-farming protokolü Yearn Finance, Yearn Ether (yETH) ürününden milyonlarca dolarlık likit staking tokeni (LST) çeken bir saldırıya maruz kaldı. yETH, popüler LST’leri tek bir token altında birleştirerek kullanıcılara farklı staking pozisyonlarına erişim sağlıyor.

Blockchain verilerine göre, havuz yaklaşık sınırsız sayıda yETH tokeni üreten sofistike bir açık ile tek bir işlemde boşaltıldı. Saldırgan, yaklaşık 1.000 ETH’yi (güncel fiyatla yaklaşık 3 milyon dolar) Tornado Cash miksleme protokolüne gönderdi. Olayda birden fazla yeni oluşturulmuş akıllı kontratın kullanıldığı ve bazılarının işlemin ardından kendi kendini imha ettiği görülüyor.

Saldırı öncesinde yETH havuzunun değeri yaklaşık 11 milyon dolar civarındaydı. Saldırının tam boyutu başlangıçta belirsizdi.

Erken Tespit ve Yanıt

Saldırı, X kullanıcısı Togbe tarafından fark edildi. The Block’a şunları söyledi:
“Net transferler, yETH süper mint’in saldırganın havuzu 1.000 ETH kazanacak şekilde boşaltmasına izin verdiğini gösteriyor. Bazı ETH’ler feda edilmiş gibi görünüyor ama yine de kar elde ettiler.”

Yearn Finance X üzerinde şu açıklamayı yaptı:
“yETH LST stableswap havuzu ile ilgili bir olayı araştırıyoruz. Yearn Vault’lar (V2 ve V3) etkilenmedi.”

Mali Kayıp ve Soruşturma

Daha sonra yapılan açıklamada Yearn, toplam kaybın 9 milyon dolar olduğunu bildirdi; bunun 8 milyon doları stableswap havuzundan, 0,9 milyon doları ise Curve üzerindeki yETH-WETH stableswap havuzundan kaynaklandı. Tam bir post-mortem soruşturması, SEAL 911 ve ChainSecurity ile iş birliği içinde yürütülüyor. Yearn açıklamasında şunları belirtti:
“İlk analiz, bu saldırının yakın zamanda yaşanan Balancer hack’i ile benzer yüksek karmaşıklıkta olduğunu gösteriyor. Post-mortem analizimizi tamamlayana kadar sabırlı olun. Etkilenen kodla benzer başka bir Yearn ürünü yok.”

Yearn’in Önceki Güvenlik Olayları

Bu Yearn’in ilk güvenlik sorunu değil. 2021’de yDAI vault’u 11 milyon dolar değer kaybetmiş ve saldırgan 2,8 milyon dolar ile kaçmıştı. Aralık 2023’te ise hatalı bir script, bir hazine pozisyonunun %63’ünü silmiş, ancak kullanıcı fonları etkilenmemişti. Kurucu Andre Cronje, Yearn’i 2020’de kurduktan iki yıl sonra 2022’de projeden ayrılmıştı.