分散型金融(DeFi)プロトコルのヤーン・ファイナンス(Yearn Finance)は、2025年12月1日に同社のリキッドステーキングトークン集約製品「yETH」が攻撃を受けたことを発表しました。攻撃者はスマートコントラクトの脆弱性を悪用し、yETHトークンを無制限に発行(ミント)することで、単一のトランザクションでプールから実資産を流出させました。
攻撃の詳細
ブロックチェーンデータによると、攻撃者は約1,000ETH(約300万ドル、約4億5000万円相当)を仮想通貨ミキシングサービス「Tornado Cash」に送金しました。攻撃に使用された複数のスマートコントラクトは、トランザクション実行後に自己破壊されており、攻撃前のyETHプールには約1,100万ドル(約16億5,000万円)相当の資産がありましたが、被害の全容は依然として不明です。
ヤーン・ファイナンスの対応
ヤーン・ファイナンスは事態を調査中であり、同プロトコルのYearn Vault(V2およびV3)は影響を受けていないと表明しています。さらに、yETH保有者が安全にETHへ引き出しできるようになったと発表しました。
過去のセキュリティインシデント
ヤーン・ファイナンスは過去にも複数回のセキュリティインシデントに見舞われており、2021年2月にはyDAI Vaultが攻撃を受け、約280万ドルを奪取されました。また、2023年4月にはyUSDT Vaultが攻撃を受け、古いコントラクトの脆弱性を突かれて約1,160万ドルの被害が発生しています。
このような攻撃は、DeFiプロトコルのセキュリティに対する懸念を再燃させるものであり、今後の対策が求められています。
 |  |