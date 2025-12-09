Yearn Finance - Borsainside.com

Yearn Finance ha diffuso un’analisi approfondita dell’exploit che la scorsa settimana ha colpito il pool yETH, spiegando come un bug matematico nella sua vecchia logica di stableswap abbia permesso a un attaccante di mintare una quantità quasi infinita di token LP e drenare circa 9 milioni di dollari in asset. La piattaforma ha anche confermato di aver recuperato una parte dei fondi sottratti.

Secondo il post-mortem, l’attacco è avvenuto il 30 novembre 2025 al blocco 23.914.086 e ha riguardato esclusivamente il pool yETH, senza impatto sui vault v2 e v3, né su altri prodotti Yearn.

Il bersaglio era un poolswap personalizzato che aggregava vari liquid staking token (apxETH, sfrxETH, wstETH, cbETH, rETH, ETHx, mETH, wOETH) insieme a un pool yETH/WETH su Curve. Prima dell’exploit, i pool contenevano un paniere di LST e 298,35 WETH.

Three-phase exploit: come è avvenuto il mint infinito

Yearn ha suddiviso l’attacco in tre fasi.

Nella prima, l’attaccante ha effettuato depositi estremamente sbilanciati che hanno mandato in crisi il solver interno del pool, portando un termine critico (Π) a collassare a zero, rompendo l’invariante matematico della pool. Questo ha permesso all’attaccante di over-mintare LP token rispetto al reale valore dei depositi.

Nella seconda fase, utilizzando questi token LP sovramintati, l’attaccante ha ripetutamente richiamato funzioni di rimozione della liquidità, prosciugando quasi tutte le risorse e scaricando il costo dell’over-mint sulla liquidità posseduta dal protocollo. Il risultato è stato un pool matematicamente a zero, ma con saldi ERC-20 ancora esistenti.

Nella fase finale, l’attaccante ha sfruttato un percorso di “bootstrap” pensato solo per l’inizializzazione della pool. Con un deposito costruito ad hoc ha violato una condizione di dominio, attivato una sottrazione non sicura nel solver e provocato un underflow, producendo una quantità enorme di token LP utilizzati per drenare anche la pool yETH/ETH su Curve.

Recupero dei fondi e risposta operativa

Yearn ha dichiarato di aver recuperato 857,49 pxETH, in cooperazione con i team Plume e Dinero. I fondi saranno redistribuiti pro rata ai depositanti yETH in base ai saldi pre-exploit. Ulteriori recuperi, provenienti dall’attaccante o da attività di tracciamento, saranno anch’essi destinati agli utenti colpiti.

La timeline dell’incidente mostra che un war room è stato convocato circa 20 minuti dopo l’exploit, con SEAL 911 coinvolto a seguire. Circa 1.000 ETH dei fondi rubati sono finiti su Tornado Cash la stessa sera, mentre il resto è passato attraverso il mixer il 5 dicembre.

Yearn ha ribadito che yETH è autogovernato sotto YIP-72, con clausola “Use at Own Risk”: né i contributor né la governance YFI sono responsabili di rimborsi. Solo gli asset recuperati saranno redistribuiti.

Piano di mitigazione e sicurezza futura

Per prevenire ulteriori exploit simili, Yearn ha annunciato un piano di intervento che prevede:

controlli di dominio espliciti sul solver con arresto critico se Π = 0;

sostituzione delle operazioni aritmetiche non sicure con matematica verificata;

disattivazione permanente delle funzioni di bootstrap dopo l’inizializzazione;

hard cap sull’emissione di LP token ancorata al valore dei depositi reali;

ampliamento della strategia di test con fuzzing orientato a invarianti, casi numerici avversari e differential testing contro modelli off-chain.

Yearn ha attribuito a ChainSecurity un ruolo chiave nell’analisi tecnica e a SEAL 911 il supporto nelle attività di risposta e recupero. Le indagini, i monitoraggi e i tentativi di recupero dei fondi restano in corso.

Il caso yETH rappresenta uno degli incidenti più complessi nel panorama DeFi del 2025, sottolineando ancora una volta quanto le vulnerabilità matematiche nell’ingegneria dei pool possano avere impatti sistemici e come la trasparenza post-mortem sia cruciale per rafforzare fiducia, sicurezza e resilienza dell’ecosistema.

Questo contenuto non deve essere considerato un consiglio di investimento. Non offriamo alcun tipo di consulenza finanziaria. L’articolo ha uno scopo soltanto informativo e alcuni contenuti sono Comunicati Stampa scritti direttamente dai nostri Clienti.

I lettori sono tenuti pertanto a effettuare le proprie ricerche per verificare l’aggiornamento dei dati. Questo sito NON è responsabile, direttamente o indirettamente, per qualsivoglia danno o perdita, reale o presunta, causata dall'utilizzo di qualunque contenuto o servizio menzionato sul sito https://www.borsainside.com.