ICOBenchでは、一部のリンクにおいてアフィリエイトプログラムを利用しています。リンク先での取引により報酬を受け取る場合がありますが、編集方針の独立性・中立性を厳守しています。 
DeFiプロトコルのYearn Financeは30日、yETH関連のプールでハッキング被害が発生した。
攻撃者はプロトコルの脆弱性を突き、約900万ドル(約14億円)相当の暗号資産を不正に引き出している。
そのうち1000ETH(約4億6800万円)が、ミキシングサービスのTornado Cashへ送金されたことが確認された。
攻撃の手口と被害状況
今回の攻撃は、yETHのレガシーコントラクトに存在した重大な脆弱性が悪用されたものだ。
ブロックチェーンの分析によると、攻撃者は担保なしでyETHを無制限に発行できる状態にあったという。このプロトコルは、主要なブロックチェーンであるイーサリアム(ETH)上で稼働している。
実際に攻撃者は単一のトランザクションで約235兆ものyETHを発行し、プロトコルの供給制限を回避した。
その後、発行したトークンを使ってBalancerプールから流動性を抜き取っている。Yearn Financeの公式発表によると、被害総額は約900万ドルに上る。
攻撃前のyETH流動性プールには約1100万ドル(約17億円)の資産があったとされており、その大部分が失われた形だ。
資金の移動と今後の対応
攻撃者は盗み出した資金の一部である1000ETHを、プライバシー保護ツールのTornado Cashへ移動させた。
これにより、資金の追跡や回収が極めて困難な状況となっている。こうしたミキシング技術が悪用されるケースは、仮想通貨とは切っても切り離せない課題となっている。
セキュリティ企業のPeckShieldなどの分析では、攻撃者のウォレットには依然として約600万ドル(約9億3600万円)相当の資産が残されているという。
一般ユーザーにおいても、仮想通貨ウォレットとは自身の資産を守る最後の砦であることを再認識すべきだろう。
Yearn Financeはユーザーに対し、問題が解決されるまでyETHの利用を停止するよう呼びかけている。
We are investigating an incident involving the yETH LST stableswap pool.
Yearn Vaults (both V2 and V3) are not affected.
— yearn (@yearnfi) November 30, 2025
一方で、同社は主要なサービスであるV2およびV3のボールト(保管庫)には影響がないことを強調した。
現在はSEAL 911やChainSecurityといった専門企業と協力し、詳細な調査と対応を進めている。
