Foto: PJ McDonnell / Shutterstock
Yearn Finance, ein bekannter Akteur im DeFi-Bereich, wurde an diesem Wochenende von einem massiven Hack getroffen. Der Angriff richtete sich gegen einen alten yETH-Vertrag, der nicht mehr aktiv genutzt wurde, aber noch Zugriff auf einen Liquiditätspool hatte. Dadurch konnte ein Angreifer dieses ungenutzte Stück Code missbrauchen, um sich Zugang zu verschaffen.
Über 11 Millionen Dollar, umgerechnet 9 Millionen Euro, an Krypto gingen durch den Hack verloren. Ob Nutzer ihr Geld noch zurückbekommen, ist fraglich.
🔥 Bleib immer auf dem Laufenden über die neuesten Krypto-News – folge uns auf X
Kriminelle nutzen Lücke in veraltetem yETH-Pool aus
Ein Fehler in einem alten Code gab einem Hacker die Möglichkeit, nahezu unbegrenzt neue yETH-Token zu erstellen und damit echte ETH und andere Assets abzuziehen.
Der Angriff begann gestern Abend. Im alten yETH-Vertrag befand sich ein Fehler, durch den der Angreifer gigantische Mengen neuer yETH minten konnte. Laut verfügbaren Daten ging es um über 235 Billionen Token auf einmal. Diese enorme Menge war natürlich nie beabsichtigt und ermöglichte es, Liquiditätspools leerzuziehen.
Aus dem Hauptpool wurden umgerechnet 6,9 Millionen Euro an ETH und Liquid-Staking-Token entnommen. Ein zweiter Pool verlor fast 850.000 Euro. Ein Teil des gestohlenen Geldes, etwa 1.000 ETH im Wert von rund 2,5 Millionen Euro, wurde direkt über Tornado Cash verschickt, um die Spur zu verschleiern. Der übrige Betrag befindet sich noch in der Wallet des Hackers, wo eine Mischung aus gestaketen ETH-Token liegt.
Yearn reagierte schnell und gab an, dass der Fehler nur im alten yETH-Bereich lag. Die bekannten V2- und V3-Vaults, in denen die meisten Nutzer investiert sind, sind sicher. „Aktive Produkte und Nutzerfonds sind nicht betroffen“, so das Team von Yearn.
#PeckShieldAlert Yearn Finance @yearnfi suffered an attack resulting in a total loss of ~$9M.
The exploit involved minting a near-infinite number of yETH tokens, depleting the pool in a single transaction.
~1K $ETH (worth ~$3M) was sent to #TornadoCash, while the exploiter’s… pic.twitter.com/IXNygpwoWa
— PeckShieldAlert (@PeckShieldAlert) December 1, 2025
YFI-Kurs steigt nach Hack
Verschiedene Kanäle schlugen schnell Alarm, unter anderem PeckShield. Verschiedene Hilfsverträge, die der Hacker verwendete, wurden kurz vor dem Angriff erstellt und kurz danach wieder zerstört. Das macht den Angriff schwer zu analysieren, zeigt aber, dass es sich um eine geplante Aktion handelte.
Auch geschah etwas Auffälliges: Statt eines Kurseinbruchs stieg der Preis von YFI, dem Token von Yearn, sogar kurzzeitig. Der Kurs schoss von rund 4.080 auf über 4.160 Dollar. Das scheint daran zu liegen, dass Trader zunächst dachten, dass ganz Yearn betroffen war, und massiv short gingen.
Als klar wurde, dass das Problem nur beim alten yETH-Produkt lag, mussten diese Short-Positionen unglaublich schnell geschlossen werden, wodurch der Kurs vorübergehend nach oben schoss. Inzwischen ist der YFI-Kurs um über 6 Prozent eingebrochen.
Yearn untersucht derzeit noch, wie der Fehler genau entstehen konnte und ob es Möglichkeiten gibt, einen Teil der gestohlenen Gelder zurückzuholen.
Bitvavo belohnt deutsche Nutzer mit 10 € in Krypto – jetzt kostenlos starten
Bitvavo, eine der führenden Kryptobörsen Europas, möchte dir den Einstieg in die Welt der digitalen Assets erleichtern – und schenkt 10 € Willkommensbonus in Krypto.
Sichere dir jetzt deinen Bonus direkt auf der offiziellen Bitvavo-Seite.
