La piattaforma DeFi Yearn Finance è stata vittima di un grave exploit che ha colpito il suo prodotto yETH, permettendo a un attaccante di generare token praticamente infiniti e svuotare completamente la pool in un’unica transazione. Si tratta di un attacco estremamente sofisticato che ha messo in luce ancora una volta le criticità di sicurezza presenti nel settore della finanza decentralizzata.
Unlimited minting e pool svuotata
Secondo i dati on-chain, l’exploit ha permesso agli hacker di creare una quantità quasi illimitata di token yETH, utilizzati poi per drenare milioni di dollari da diverse pool su Balancer. Il profitto diretto stimato è di circa 1.000 ETH, pari a circa 3 milioni di dollari, successivamente inviati attraverso Tornado Cash, un mixer utilizzato per offuscare le tracce delle transazioni.
L’incidente è stato segnalato inizialmente dall’utente X Togbe, che ha notato movimenti sospetti su vari token LST (Liquid Staking Derivatives), tra cui quelli legati a Yearn, Rocket Pool, Origin e Dinero.
Cos’è yETH e come è avvenuto l’attacco
yETH è un token indice che rappresenta un paniere di Ethereum Liquid Staking Derivatives (LSTs), ovvero versioni di ETH messe in staking e rese liquide tramite protocolli come Lido, Rocket Pool e altri.
L’attacco ha coinvolto smart contract appena creati che, secondo l’analisi on-chain, si sono auto-distrutti dopo l’esecuzione dell’exploit, rendendo più complessa l’analisi dettagliata del codice usato per il minting illimitato.
Yearn conferma l’incidente ma rassicura: i Vault V2 e V3 sono al sicuro
Yearn Finance ha confermato l’attacco, precisando tuttavia che i suoi Vault V2 e V3 non sono stati compromessi e continuano a funzionare regolarmente. Il danno ha riguardato esclusivamente la pool yETH, che prima dell’attacco conteneva circa 11 milioni di dollari, secondo i dati di Dexscreener.
All’interno della community DeFi sono emerse forti critiche sull’uso di contratti obsoleti e poco aggiornati, considerati uno dei possibili fattori di vulnerabilità. Yearn aveva già subito un attacco nel 2021, con una perdita di 11 milioni dal vault yDAI, di cui 2,8 milioni sottratti dall’hacker.
Novembre da record: oltre 127 milioni rubati nel settore crypto
Il caso Yearn si inserisce in un contesto di crescente instabilità per la sicurezza nel mondo crypto. Secondo il report mensile di CertiK, solo nel mese di novembre 2025 sono andati persi 127 milioni di dollari in exploit, hack e truffe, con oltre 172 milioni effettivamente colpiti se si considerano i fondi recuperati in seguito.
Il protocollo Balancer guida la classifica dei peggiori incidenti DeFi del mese, con un attacco cross-chain che ha comportato perdite superiori a 116 milioni, uno dei più gravi del 2025.
CertiK ha inoltre rilevato che:
- 135 milioni sono stati persi in attacchi DeFi
- 29,8 milioni in hack su exchange
Il caso yETH mette ancora una volta sotto i riflettori la necessità di una maggiore attenzione alla sicurezza degli smart contract, soprattutto nei protocolli DeFi più datati o basati su architetture non più aggiornate.
Questo contenuto non deve essere considerato un consiglio di investimento.
Non offriamo alcun tipo di consulenza finanziaria. L’articolo ha uno scopo soltanto informativo e alcuni contenuti sono Comunicati Stampa
scritti direttamente dai nostri Clienti.
I lettori sono tenuti pertanto a effettuare le proprie ricerche per verificare l’aggiornamento dei dati.
Questo sito NON è responsabile, direttamente o indirettamente, per qualsivoglia danno o perdita, reale o presunta,
causata dall'utilizzo di qualunque contenuto o servizio menzionato sul sito https://www.borsainside.com.
- Investimento minimo a partire da 1$
- Deposito minimo a partire da $50
- Piattaforma premiata, Prelievi istantanei e Supporto 24/7
72% of retail investor accounts lose money when trading CFDs with this provider
