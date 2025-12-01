Hacker borsainside

La piattaforma DeFi Yearn Finance è stata vittima di un grave exploit che ha colpito il suo prodotto yETH, permettendo a un attaccante di generare token praticamente infiniti e svuotare completamente la pool in un’unica transazione. Si tratta di un attacco estremamente sofisticato che ha messo in luce ancora una volta le criticità di sicurezza presenti nel settore della finanza decentralizzata.

Unlimited minting e pool svuotata

Secondo i dati on-chain, l’exploit ha permesso agli hacker di creare una quantità quasi illimitata di token yETH, utilizzati poi per drenare milioni di dollari da diverse pool su Balancer. Il profitto diretto stimato è di circa 1.000 ETH, pari a circa 3 milioni di dollari, successivamente inviati attraverso Tornado Cash, un mixer utilizzato per offuscare le tracce delle transazioni.

L’incidente è stato segnalato inizialmente dall’utente X Togbe, che ha notato movimenti sospetti su vari token LST (Liquid Staking Derivatives), tra cui quelli legati a Yearn, Rocket Pool, Origin e Dinero.

Cos’è yETH e come è avvenuto l’attacco

yETH è un token indice che rappresenta un paniere di Ethereum Liquid Staking Derivatives (LSTs), ovvero versioni di ETH messe in staking e rese liquide tramite protocolli come Lido, Rocket Pool e altri.

L’attacco ha coinvolto smart contract appena creati che, secondo l’analisi on-chain, si sono auto-distrutti dopo l’esecuzione dell’exploit, rendendo più complessa l’analisi dettagliata del codice usato per il minting illimitato.

Yearn conferma l’incidente ma rassicura: i Vault V2 e V3 sono al sicuro

Yearn Finance ha confermato l’attacco, precisando tuttavia che i suoi Vault V2 e V3 non sono stati compromessi e continuano a funzionare regolarmente. Il danno ha riguardato esclusivamente la pool yETH, che prima dell’attacco conteneva circa 11 milioni di dollari, secondo i dati di Dexscreener.

All’interno della community DeFi sono emerse forti critiche sull’uso di contratti obsoleti e poco aggiornati, considerati uno dei possibili fattori di vulnerabilità. Yearn aveva già subito un attacco nel 2021, con una perdita di 11 milioni dal vault yDAI, di cui 2,8 milioni sottratti dall’hacker.

Novembre da record: oltre 127 milioni rubati nel settore crypto

Il caso Yearn si inserisce in un contesto di crescente instabilità per la sicurezza nel mondo crypto. Secondo il report mensile di CertiK, solo nel mese di novembre 2025 sono andati persi 127 milioni di dollari in exploit, hack e truffe, con oltre 172 milioni effettivamente colpiti se si considerano i fondi recuperati in seguito.

Il protocollo Balancer guida la classifica dei peggiori incidenti DeFi del mese, con un attacco cross-chain che ha comportato perdite superiori a 116 milioni, uno dei più gravi del 2025.

CertiK ha inoltre rilevato che:

135 milioni sono stati persi in attacchi DeFi

29,8 milioni in hack su exchange

Il caso yETH mette ancora una volta sotto i riflettori la necessità di una maggiore attenzione alla sicurezza degli smart contract, soprattutto nei protocolli DeFi più datati o basati su architetture non più aggiornate.

