Yearn Finance bị khai thác, mất 9 triệu USD ETH

Quỹ yETH của Yearn Finance vừa bị khai thác lỗ hổng hợp đồng trên Ethereum, dẫn tới mất khoảng 9 triệu USD. Lỗ hổng cho phép kẻ tấn công tạo token yETH dư thừa, làm giảm thanh khoản gần bằng 0 và rút sạch quỹ ngay lập tức, bất chấp các giới hạn và kiểm toán thông thường.

Kẻ tấn công chuyển ETH vào Tornado Cash

• Khoảng 1.000 ETH (~3 triệu USD) đã được chuyển vào Tornado Cash, chia thành các lô 100 ETH (~285.000 USD/lô) để xóa dấu vết trước khi rút tiền.
• Một giao dịch 1.600 ETH liên quan đến kẻ khai thác xuất hiện trước khi ETH được gửi vào Tornado Cash, cho thấy tách dòng tiền: một phần chuyển đi, phần còn lại giữ lại trong ví.

#PeckShieldAlert Yearn Finance @yearnfi suffered an attack resulting in a total loss of ~$9M.

The exploit involved minting a near-infinite number of yETH tokens, depleting the pool in a single transaction.

~1K $ETH (worth ~$3M) was sent to #TornadoCash, while the exploiter's… pic.twitter.com/IXNygpwoWa

— PeckShieldAlert (@PeckShieldAlert) December 1, 2025

Ví giữ lại khoảng 6 triệu USD

Địa chỉ kẻ khai thác vẫn giữ 6,2 triệu USD crypto, bao gồm:

• ETH, stETH, pXETH, fXETH, cbETH, tETH
• stETH được stake tại Rocket Pool và Lido

Hiện chưa có thông tin cá nhân nào liên kết trực tiếp với địa chỉ này; dữ liệu công khai chỉ cho thấy dòng tiền và tài sản còn lại, theo Arkham.

Lỗ hổng yETH cho thấy ngay cả quỹ sinh lời đã kiểm toán cũng không tránh khỏi rủi ro smart contract. Việc chuyển ETH vào Tornado Cash nhấn mạnh tầm quan trọng của theo dõi blockchain, quản lý rủi ro và bảo vệ thanh khoản trong DeFi.

Đăng ký sàn ATX để nhận voucher cấp vốn 1 triệu: https://atxapp.app.link/refer/40745534

Disclaimer: Toàn bộ thông tin trên Cafebit.org chỉ mang tính chất tham khảo, không phải là khuyến nghị tài chính hay tư vấn đầu tư.