Giao thức DeFi Yearn Finance đã công bố báo cáo post-mortem về vụ tấn công yETH xảy ra tuần trước, chỉ ra rằng một lỗi số học trong pool stableswap cũ đã cho phép kẻ tấn công “mint gần như vô hạn” token LP và rút khoảng 9 triệu USD tài sản. Yearn cũng xác nhận đã thu hồi được một phần số tiền bị đánh cắp.
Sự cố và cơ chế tấn công
Theo Yearn, pool yETH weighted stableswap đã bị khai thác tại block 23.914.086 ngày 30/11/2025, sau một chuỗi thao tác phức tạp khiến bộ giải (solver) của pool rơi vào trạng thái sai lệch và cuối cùng dẫn đến lỗi arithmetic underflow.
Các vault v2, v3 và những sản phẩm khác không bị ảnh hưởng; thiệt hại chỉ tập trung ở yETH và các tích hợp liên quan.
Pool bị tấn công là stableswap tùy chỉnh tổng hợp nhiều token liquid staking (LST) như apxETH, sfrxETH, wstETH, cbETH, rETH, ETHx, mETH, wOETH cùng pool yETH/WETH. Trước vụ việc, các pool này nắm giữ rổ LST và 298,35 WETH.
Ba giai đoạn tấn công và đường “mint vô hạn”
Post-mortem chia cuộc tấn công thành ba giai đoạn:
-
Gây mất cân bằng nghiêm trọng trong add_liquidity
Kẻ tấn công gửi các khoản nạp thanh khoản cực lệch, đẩy solver cố định của pool vào vùng hoạt động nằm ngoài thiết kế. Điều này khiến một biến số nội bộ (Π) sụp về 0, phá vỡ invariant của weighted stableswap và cho phép over-mint lượng lớn token LP. -
Rút cạn tài sản bằng remove_liquidity
Với lượng LP bị over-mint, kẻ tấn công liên tục gọi remove_liquidity và các hàm liên quan để rút hầu hết thanh khoản LST, đẩy chi phí mint sai lệch sang phần thanh khoản do giao thức sở hữu (POL). Quá trình này làm nguồn cung nội bộ của pool giảm về 0 dù số dư ERC-20 vẫn còn. -
Kích hoạt lại đường “bootstrap” và tạo mint vô hạn
Kẻ tấn công quay lại đường khởi tạo pool vốn chỉ dành cho lần triển khai đầu tiên. Bằng cách gửi cấu hình “dust” vi phạm điều kiện miền dữ liệu, họ kích hoạt thao tác unsafe_sub gây underflow, tạo ra lượng yETH LP “quasi-infinite”, sau đó dùng để rút sạch pool yETH/ETH trên Curve.
Thu hồi tài sản và định hướng xử lý
Yearn cho biết đã thu hồi được 857,49 pxETH nhờ phối hợp với Plume và Dinero; giao dịch thu hồi được thực hiện ngày 1/12. Số tiền này sẽ được phân phối theo tỷ lệ cho các người gửi yETH dựa trên số dư trước thời điểm khai thác.
Khoảng 1.000 ETH bị đánh cắp đã được đưa vào Tornado Cash trong tối ngày xảy ra sự cố, phần còn lại cũng được chuyển qua Tornado ngày 5/12. The Block trước đó ghi nhận khoảng 3 triệu USD ETH đã được gửi vào mixer ngay sau vụ tấn công.
Yearn nhấn mạnh yETH hoạt động theo cơ chế tự quản dựa trên YIP-72, kèm điều khoản “Use at Own Risk”, và khẳng định đội ngũ Yearn cũng như cộng đồng YFI không chịu trách nhiệm bồi hoàn. Mọi tài sản thu hồi được sẽ hoàn trả cho người dùng bị ảnh hưởng.
Kế hoạch khắc phục
Để ngăn sự cố tái diễn, Yearn đề xuất các biện pháp:
Yearn ghi nhận ChainSecurity hỗ trợ phân tích nguyên nhân gốc rễ và SEAL 911 hỗ trợ phản ứng sự cố và thu hồi tài sản. Công tác điều tra và theo dõi dòng tiền của kẻ tấn công vẫn đang tiếp tục.
Vương Tiễn
Theo Tapchibitcoin
