ヤーンが857.49 pxETHを回収
イーサリアム(Ethereum)上で利回り運用サービスを提供するヤーンファイナンス(Yearn Finance)が、11月30日に発生したyETH関連の不正流出について、盗難資産の一部である857.49 pxETH(約239万ドル)を回収したと12月1日にX投稿で発表した。なおこの回収はプルーム(Plume)およびディネロ(Dinero)チームの協力によるものだという。
ヤーンの発表によると、今回の被害総額は約900万ドル(約13億9,900万円)に達する見込みだ。今回そのうち約239万ドル相当の資産が回収されたものの、依然として多くの資産が流出したままだという。なおヤーンは回収された857.49 pxETHの取得経路や具体的な回収手法については明らかにしていない。回収作業は現在も継続中で、ヤーンは回収された資産をすべて被害を受けた預金者へ返還すると説明している。
ヤーンは1日の事後報告書にて、今回の不正流出の原因が未チェックの算術演算(unchecked arithmetic)と設計上の不整合が重なり、異常量のyETHをミントできる状態になっていたと明らかにした。同バグは、スマートコントラクトが計算結果の異常値(オーバーフローなど)を検証せず処理してしまう不具合を指す。攻撃者はこの脆弱性を悪用し、本来は発行できないほど大量のyETHトークンを異常値としてミントした上で、yETHステーブルスワッププールおよびyETH-WETHプールから実資産を引き出したという。
また「今回の攻撃は対象を絞ったものであり、ヤーン・ボールト(Yearn Vaults)V2およびV3には影響はない」と強調している。
この不正流出については、暗号資産(仮想通貨)領域のセキュリティ専門チームであるシール911(SEAL 911)やチェーンセキュリティ(ChainSecurity)と連携した調査・回収作業が続けられている。回収が確認された857.49 pxETHについては、オンチェーンデータ上でも取引が確認されている。
今回の不正流出に先立ち、yETH関連アドレスから合計約1,000ETH(約300万ドル)がトルネードキャッシュ(Tornado Cash)へ送金されるなど、不審な資金移動が複数確認されていた。ヤーンは当初「調査中」としていたが、今回の発表により不正流出であったことが正式に判明した形となる。
yETH update: With the assistance of the Plume and Dinero teams, a coordinated recovery of 857.49 pxETH ($2.39m) was performed. Recovery efforts remain active and ongoing. Any assets successfully recovered will be returned to affected depositors.https://t.co/xaClNhd0C0
— yearn (@yearnfi) December 1, 2025
At 21:11 UTC on Nov 30, an incident occurred involving the yETH stableswap pool that resulted in the minting of a large amount of yETH. The contract impacted is a custom version of popular stableswap code, unrelated to other Yearn products. Yearn V2/V3 vaults are not at risk.
— yearn (@yearnfi) December 1, 2025
参考:イーサスキャン
画像:PIXTA
関連ニュース
- ヤーンファイナンスのyETHで不審な資金移動が発覚。約300万ドル相当のETHがトルネードキャッシュへ
- DEXバランサーが約120Mドルの流出被害。V2プールの脆弱性を悪用か
- ベラチェーンが緊急ハードフォーク実施、バランサー不正流出の影響で
- アップビット、ソラナ上の暗号資産が不正流出、ネイバーとの合併発表直後に
- バイナンス、不正取引で600超のアカウントを停止措置
参照元:ニュース – あたらしい経済
コメント