Yearn: yETH bị khai thác, rút ~2,8 triệu USD

Tóm tắt sự kiện

Yearn Finance xác nhận một vụ khai thác ảnh hưởng đến phiên bản token yETH, khi một ví độc hại đã thực hiện thao tác mint vô hạn và rút thanh khoản từ các pool liên quan. Sự cố dẫn tới khoảng 2,8 triệu USD tài sản bị chuyển ra, cùng với các giao dịch rửa tiền ngay sau đó. Yearn nhấn mạnh rằng các Vault V2 và V3 không bị ảnh hưởng, trong khi cuộc điều tra vẫn đang được tiến hành.

Chi tiết kỹ thuật của vụ tấn công

Theo dữ liệu on-chain và phân tích blockchain, kẻ tấn công đã:

• Thực hiện một giao dịch mint một lượng lớn yETH (cấp phát gần như vô hạn) vào khoảng 21:11 UTC ngày 30/11.
• Sử dụng lượng token yETH vừa tạo để rút các tài sản thực từ các pool thanh khoản, chủ yếu là ETH và các token staking thanh khoản (LST).
• Ước tính ban đầu khoảng 2,8 triệu USD tài sản bị rút khỏi các pool bị ảnh hưởng.
• Chuyển khoảng 1,000 ETH qua các công cụ trộn tiền ngay sau khi rút để che giấu nguồn gốc.
• Triển khai một số hợp đồng trợ giúp chỉ vài phút trước khi tấn công và cho tự hủy (self-destruct) ngay sau đó nhằm làm mờ dấu vết.

Nguyên nhân kỹ thuật sơ bộ

Các hệ thống giám sát on-chain đã gợi ý đây là lỗ hổng “infinite-mint” trong hợp đồng token yETH, tức lỗ hổng cho phép phát hành token vượt giới hạn dự định. Lỗ hổng được xác định là thuộc về hợp đồng token yETH cũ, không liên quan trực tiếp tới cơ chế Vault chính của giao thức.

Phản ứng của Yearn và trạng thái tiêu biểu

Đội ngũ Yearn nhanh chóng thông báo rằng các Vault V2 và V3 vẫn an toàn và không có bằng chứng cho thấy hệ thống lõi bị xâm phạm. Một số điểm đáng lưu ý:

• TVL (Total Value Locked) của giao thức vẫn duy trì trên mức 600 triệu USD theo dữ liệu thị trường, cho thấy phần lớn tài sản vẫn nằm trong hệ thống an toàn.
• Đội ngũ bảo mật và cộng đồng đang phối hợp thu thập bằng chứng on-chain để truy vết dòng tiền và đánh giá khả năng thu hồi tài sản.
• Cuộc điều tra tiếp tục, và cộng đồng được khuyến nghị chờ thông báo chính thức từ Yearn trước khi thực hiện các hành động quản trị hay chuyển tài sản liên quan.

Tác động thị trường và biến động giá

Sự cố đã gây ra phản ứng bất thường trên thị trường: giá token quản trị YFI tăng mạnh ngay sau khi tin tức lan truyền, dù thông tin ban đầu mang tính tiêu cực. Nguyên nhân chính gồm:

• Hiểu lầm ban đầu về phạm vi thiệt hại đã kích hoạt đóng các vị thế bán khống đòn bẩy cao, dẫn tới hiện tượng short squeeze.
• YFI có khối lượng lưu hành tương đối nhỏ (khoảng 33,984 token), khiến thanh khoản mỏng và biên độ giá dễ bị khuếch đại trong các cú sốc thông tin.
• Dữ liệu phái sinh cho thấy chi phí tài trợ (funding) tăng đột biến, phản ánh tâm lý giao dịch biến động mạnh trong ngắn hạn.

Tổng hợp các yếu tố trên đã tạo ra đợt sóng giá tăng bất ngờ dù hệ sinh thái vừa chịu tổn thất ở một sản phẩm cụ thể.

Bối cảnh DeFi 2025 và bài học rút ra

Năm 2025 tiếp tục chứng kiến sự phát triển nhanh chóng của DeFi nhưng đồng thời làm nổi bật các rủi ro an ninh và quản trị:

• Tăng trưởng LST và các sản phẩm tổng hợp đã mở rộng thanh khoản nhưng cũng phơi bày hệ thống với những đường dẫn phức tạp giữa token synthetics và pool thanh khoản.
• Các cuộc tấn công theo dạng mint vô hạn, reentrancy hay logic lỗi vẫn xuất hiện, nhấn mạnh nhu cầu kiểm toán liên tục, giám sát runtime và cơ chế phát hiện bất thường trên chuỗi.
• Áp lực quy định và theo dõi nguồn gốc dòng tiền khiến việc rửa tiền on-chain trở thành mối quan tâm lớn, đòi hỏi phối hợp giữa các bên thực thi pháp luật và cộng đồng an ninh.

Với bối cảnh này, các giao thức cần nâng cao lớp phòng thủ: kiểm toán định kỳ, bounty chương trình tìm lỗi hấp dẫn, triển khai cơ chế kiểm soát nâng cao cho token minting và tăng cường quan sát các cầu nối thanh khoản.

Khuyến nghị cho người dùng và nhà đầu tư

• Kiểm tra thông tin từ kênh chính thức của Yearn trước khi có hành động chuyển đổi hoặc rút tiền liên quan đến yETH hay các Vault.
• Tránh tương tác với các token nghi vấn hoặc hợp đồng mới được triển khai chưa được kiểm toán.
• Theo dõi ví mình có kết nối đến các pool bị ảnh hưởng không và cân nhắc phân bổ lại rủi ro nếu cần.
• Người nắm giữ vị thế đòn bẩy lưu ý biến động tài sản quản trị có thể gây thanh lý đột ngột; điều chỉnh margin và lệnh phòng ngừa phù hợp.

Kết luận và hướng theo dõi

Vụ khai thác trên yETH là lời nhắc mạnh mẽ về rủi ro hợp đồng thông minh trong DeFi: một lỗ hổng trong sản phẩm phụ có thể gây tổn thất đáng kể nhưng không nhất thiết xâm phạm toàn bộ giao thức nếu cấu trúc phân tách được thiết kế tốt. Hiện tại, thiệt hại ước tính là khoảng 2,8 triệu USD và các hoạt động rửa tiền diễn ra nhanh sau đó, trong khi các Vault chính của Yearn được báo an toàn.

Cộng đồng và nhà đầu tư nên tiếp tục theo dõi thông báo điều tra chính thức từ Yearn, cập nhật biện pháp vá lỗi và các quyết định quản trị liên quan. Trong bối cảnh thị trường 2025, an ninh on-chain và quản trị rủi ro sẽ tiếp tục là trọng tâm quyết định khả năng phục hồi của các giao thức DeFi.

Miễn trừ trách nhiệm: Bài viết này tổng hợp thông tin từ các nguồn công khai.
MEXC không xác minh hoặc đảm bảo tính chính xác của nội dung từ bên thứ ba.
Người đọc nên tự tìm hiểu trước khi đưa ra bất kỳ quyết định đầu tư nào.