無制限発行の穴を狙った攻撃が発生し、Tornado Cashへ資金が流出
今回の攻撃により、Yearn Financeのレガシー領域で約900万ドル(約14億円)相当の被害が発生した。
We are investigating an incident involving the yETH LST stableswap pool.
Yearn Vaults (both V2 and V3) are not affected.
— yearn (@yearnfi) November 30, 2025
yETH LST ステーブルスワッププールに関連するインシデントを調査中です。Yearn Vault(V2 および V3)は影響を受けません。
攻撃者はyETHトークンの脆弱性を突き、単一のトランザクションで大量鋳造を行い、複数プールから実資産を引き抜いた。
Yearn Financeは、攻撃者がyETHトークン契約の鋳造機能を悪用し、無担保のまま大量のyETHを発行したことで複数のプールの流動性が短時間で枯渇したと説明している。対象となったのは旧型のyETHステーブルスワッププールで、V2およびV3 VaultやKatanaなどの現在稼働する金庫群は影響を受けていない。
We are investigating an incident involving the yETH LST stableswap pool.
Yearn Vaults (both V2 and V3) are not affected.
— yearn (@yearnfi) November 30, 2025
このエクスプロイトにより、CurveのyETH-WETHステーブルスワッププールから約90万ドル(約1.4億円)、影響を受けた複数のプールから800万ドル(約12.5億円)規模の資産が抜き取られ、合計約900万ドル規模の損失が発生した。攻撃は一度のコントラクト呼び出しで実行され、鋳造後のyETHは即座に複数のプールへと投入され、実資産が抜き取られる結果となった。
攻撃の痕跡と資金の移動
オンチェーンデータによると、攻撃者は合計1,000ETH(約4.6 億円)をトルネードキャッシュ(Tornado Cash)へ送金したことが確認されている。
同じアドレスからは100ETH単位の分割入金が繰り返されており、残った資産は攻撃者ウォレット内に約600万ドル(約9.3億円)相当保持されている。ウォレットには、stETHやcbETHに加えてpXETHやfXETHなど複数のステーキングデリバティブとETHが確認されている。これらにはRocket PoolやLido経由でステークされている資産も含まれており、攻撃者ウォレット全体の評価額を構成している。
Yearn側の対応と調査状況
Yearn Financeは今回のインシデントをXで正式に認め、影響を受けたユーザーにはDiscordでサポートチケットを開くよう案内している。
また、SEAL911およびChainSecurityと連携した調査チームが発足し、原因分析と復旧策の検討が進められている。
初期調査では、今回の攻撃は従来のBalancerエクスプロイトと同程度の技術的複雑性を有しているとの見方が示されている。特に、無制限ミントが可能になっていた古いyETHトークンロジックが根本原因とされ、Vault本体や最新のプロダクトには影響が及んでいないと説明された。
市場への影響と関連動向
Yearn FinanceのネイティブトークンYFIは今回の攻撃後に約4%下落し、記事執筆時点で4,000ドル(約62万円)前後で推移している。また、イーサリアム価格も12月1日に約5%下落する動きが見られ、市場全体で売り圧力が強まっている状況が確認できる。
今回のエクスプロイトは、2021年のyDAI事件や2023年の財務設定ミスに続くもので、レガシー領域に残存するリスク管理の重要性が再び浮き彫りとなった。
