Yearn FinanceがyETH流動性プールにおいて新たなセキュリティ侵害を受ける

Yearn FinanceのyETHプールに重大なセキュリティリスクが発生

分散型イールドプロトコルYearn Financeが、再びセキュリティインシデントに発生しました。最近、yETH流動性プールで異常な取引が確認され、短時間で大量のリキッドステーキングトークン（LST）が流出しました。主要なLSTを集約するyETHプールはYearnプロトコルの中核を担っており、今回の事案は市場に大きな影響を及ぼしています。

攻撃手法：偽造ミンティング（新規発行）と即時プール資産枯渇

オンチェーンデータによれば、攻撃者は独自コントラクトを複数展開し、単一トランザクションでyETHトークンを無制限にミント（新規発行）しました。人工的に生成したトークンを使い、プール内の全LST資産を交換して数秒でプールを空にしました。損失額は数百万ドル規模と推定されています。

攻撃後、約1,000ETH（約300万ドル）が速やかにTornado Cashへ送金され、資金追跡が困難となりました。複数の攻撃コントラクトは実行後に破棄され、計画的かつ高度な技術力が示されました。

損失額は公式発表待ち

インシデント前のyETHプールには約1,100万ドル相当の資産がありましたが、Yearn Financeとブロックチェーンセキュリティチームが損失額を確認します。攻撃過程で一部ETHが消費されたり、追跡不能となっている可能性もあります。

オンチェーンアナリストTogbeが最初に異常を察知し、大口資金の動きを追う中で攻撃を明らかにしました。

公式対応と過去の経緯

(出典: yearnfi)

Yearn FinanceはXにて、現在インシデントを調査中であると発表しました。V2およびV3 Vaultは影響を受けていないことを強調しています。これまでにもプロトコルは以下のようなセキュリティ・技術的課題を経験しています：

• 2021年：yDAI Vaultの脆弱性で約1,100万ドルの損失
• 2022年：創設者Andre Cronjeがプロジェクト離脱を発表
• 2023年後半：スクリプトエラーでトレジャリー（財務資産）が63%減少（ユーザー資金への影響なし）

現時点でYearnチームは調査の詳細を公表しておらず、市場関係者は続報を注視しています。

Web3に関する詳細情報は以下をご参照ください：https://www.gate.com/

まとめ

今回の事案は、長期稼働するDeFiプロトコルであっても、コミュニティや監査履歴が充実していても、コントラクトロジックやコントラクト間の相互作用、ガバナンス設計の不備に依然として脆弱であることを示しています。Yearn Financeは脆弱性の修正と市場の信頼回復に取り組んでいます。DeFi業界全体にとっても、セキュリティ監査・モニタリング・継続的な運用が長期的な安定性の鍵となります。イノベーションがDeFiを推進する一方で、スピードとセキュリティの均衡が重要です。