Yearn Finance เผชิญเหตุเจาะระบบครั้งใหม่ เมื่อผู้โจมตีอาศัยช่องโหว่ “มินต์ไม่จำกัด” ของสัญญา yETH รุ่นเก่า กวาดสินทรัพย์มูลค่ากว่า 110 ล้านบาท ออกจาก Balancer ก่อนส่งต่อ Ethereum จำนวนมากเข้าสู่ Tornado Cash เพื่อปิดรอยตาม

เหตุการณ์เกิดขึ้นช่วงค่ำวันที่ 30 พฤศจิกายน เมื่อผู้โจมตีเรียกใช้งานช่องโหว่ในสัญญา yETH แบบเก่า ทำให้สามารถมินต์โทเคน yETH ได้แบบไม่จำกัด มากกว่า 235 ล้านล้านโทเคน ในธุรกรรมเดียว จากนั้นผู้โจมตีเร่งเบิกถอนสินทรัพย์จริงจาก Balancer ทั้ง ETH และ LST หลายประเภท จนสระสภาพคล่องถูกดูดเกลี้ยงภายในไม่กี่นาที ส่งผลให้มูลค่าความเสียหายเบื้องต้นราว $2.8M หรือประมาณ 103 ล้านบาท ขณะที่ ETH ประมาณ 1,000 เหรียญถูกเคลื่อนผ่าน Tornado Cash แทบจะทันทีหลังเกิดเหตุ

ผู้เชี่ยวชาญด้านความปลอดภัยในอุตสาหกรรมระบุว่า ช่องโหว่นี้มีสัญญาณมาตั้งแต่เวอร์ชันเก่า โดยมาจาก “ตรรกะการมินต์ภายในสัญญาที่ล้าสมัย” ไม่เกี่ยวข้องกับสถาปัตยกรรมใหม่ของ Yearn V2 หรือ V3 โดยหนึ่งในนักวิเคราะห์กล่าวว่า “นี่คือปัญหาที่ซ่อนในโค้ดเก่ามานาน ไม่ใช่บั๊กของระบบใหม่ Yearn เพียงรับมรดกจากยุคก่อนหน้า” ขณะที่ชุดสัญญา Helper ที่โผล่ขึ้นก่อนการโจมตีเพียงไม่กี่วินาทีและถูกทำลายตัวเองหลังจบการโจมตี ยิ่งทำให้การติดตามเส้นทางทรัพย์สินซับซ้อนมากขึ้น

เหตุการณ์ครั้งนี้ทำให้ระบบนิเวศ DeFi สะท้อนความเสี่ยงของสินทรัพย์รุ่นเก่าที่ไม่ได้รับการอัปเดต แม้ว่ากระเป๋าและ Vaults รุ่นใหม่ของ Yearn จะปลอดภัย แต่ช่องโหว่ในสัญญาเก่าก็ยังคงสร้างแรงสั่นสะเทือนให้กับความเชื่อมั่นของผู้ใช้งานและโปรโตคอลที่เกี่ยวข้อง Balancer สูญสภาพคล่องทันที ส่วนราคาของโทเคน YFI ร่วงกว่า 4% สู่ระดับราว $4,002 หลังข่าวแพร่กระจาย ขณะที่ชุมชน DeFi คาดหวังให้ Yearn ออกแผนรับมือและรายงานเชิงลึกโดยเร็วที่สุด