Nuovo attacco nel mondo DeFi, questa volta ai danni di Yearn Finance e del suo prodotto yETH, colpito da un exploit che ha permesso la creazione illimitata di token e lo svuotamento completo della liquidity pool in un’unica transazione. L’evento ha riacceso l’attenzione sulla sicurezza dei protocolli basati su smart contract, soprattutto quando utilizzano architetture non aggiornate o non sottoposte a revisioni recenti.
Come è avvenuto l’attacco
L’exploit ha abusato della logica di minting dei token yETH, generando una quantità praticamente infinita di unità, utilizzate subito per drenare liquidità dalle pool su Balancer.
Le analisi on-chain indicano un profitto diretto di circa 1.000 ETH, pari a 3 milioni di dollari, poi trasferiti tramite Tornado Cash, rendendo difficile la tracciabilità dei fondi. L’attacco è stato individuato inizialmente dall’utente X Togbe, che ha segnalato transazioni anomale legate a diversi protocolli connessi agli Ethereum Liquid Staking Derivatives (LSTs), tra cui Yearn, Rocket Pool e Origin.
Cos’è yETH e perché è stato vulnerabile
yETH rappresenta un basket di Liquid Staking Tokens basati su Ethereum, una forma di investimento molto diffusa nella DeFi per unire rendimento, liquidità e staking. Il problema ha riguardato un contratto appena implementato, che dopo l’esecuzione dell’attacco si è auto-distrutto, lasciando poche tracce tecniche disponibili per l’analisi.
Il valore complessivo della pool prima dell’attacco era intorno agli 11 milioni di dollari, secondo dati Dexscreener, ma l’entità della perdita reale è ancora oggetto di verifica.
La risposta di Yearn Finance
La piattaforma ha confermato l’“incident”, specificando che i Vault V2 e V3 sono rimasti sicuri e non sono stati toccati dall’exploit. Il danno, dunque, è circoscritto al prodotto yETH, ma l’episodio ha spinto parte della community a criticare l’utilizzo di contratti obsoleti e mai aggiornati, potenziale causa della vulnerabilità.
Yearn Finance non è nuova a episodi simili: nel 2021 subì un attacco al vault yDAI, con perdite complessive di 11 milioni di dollari, di cui 2,8 milioni finiti nelle mani dell’attaccante. Nel dicembre 2023, un errore di script causò inoltre una perdita interna del 63% dei fondi del treasury.
Il caso Yearn arriva in un mese già segnato da gravi attacchi. Secondo il report di CertiK, solo a novembre 2025 sono stati persi 127 milioni di dollari tra exploit, truffe e hack. Il valore effettivamente coinvolto supera i 172 milioni, ma una parte è stata successivamente recuperata.
Il protocollo Balancer guida la lista degli incidenti DeFi di novembre, con oltre 116 milioni sottratti in un sofisticato attacco cross-chain, uno dei più gravi dell’anno. In totale:
- 135 milioni persi in exploit DeFi
- 29,8 milioni sottratti tramite hack a exchange centralizzati
L’attacco a yETH non ha solo causato perdite economiche, ma ha riaperto il dibattito sull’affidabilità dei protocolli DeFi e sull’importanza della manutenzione dei contratti intelligenti, specialmente quando collegati a prodotti compositi come gli LST.
Questo contenuto non deve essere considerato un consiglio di investimento.
Non offriamo alcun tipo di consulenza finanziaria. L’articolo ha uno scopo soltanto informativo e alcuni contenuti sono Comunicati Stampa
scritti direttamente dai nostri Clienti.
I lettori sono tenuti pertanto a effettuare le proprie ricerche per verificare l’aggiornamento dei dati.
Questo sito NON è responsabile, direttamente o indirettamente, per qualsivoglia danno o perdita, reale o presunta,
causata dall'utilizzo di qualunque contenuto o servizio menzionato sul sito https://valoreazioni.com.
