Yearn.finance: DeFi-Hack mit 7,7 Millionen Euro Verlust

Ein ausgeklügelter Angriff auf ein altes Liquiditätspool des DeFi-Aggregators Yearn.finance hat am Wochenende rund 7,7 Millionen Euro Schaden verursacht. In einer bemerkenswerte Aktion konnte das Protokoll jedoch bereits etwa 2,05 Millionen Euro der gestohlenen Gelder zurückholen – ein seltener Erfolg in der oft düsteren Welt der Krypto-Hacks.

Der Angriff ereignete sich am späten Sonntagabend, dem 30. November, gegen 22:11 Uhr mitteleuropäischer Zeit. Ziel war ein veralteter Yearn-Ether-Pool (yETH), der einen kritischen Fehler in seiner Minting-Logik aufwies. Anders als die Standardprodukte von Yearn nutzte dieser Pool einen maßgeschneiderten Smart Contract – und genau das wurde ihm zum Verhängnis.

Das Yearn-Team reagierte umgehend mit einer Klarstellung: „Unsere V2- und V3-Vaults sind nicht betroffen. Der Exploit beschränkte sich ausschließlich auf den veralteten yETH-Stableswap-Vertrag.” Eine wichtige Botschaft für die Nutzer der Hauptprodukte.

DeFi‑Hacks wie der Yearn yETH‑Exploit zeigen, wie schnell Schwachstellen enorme Verluste verursachen. Viele Unternehmen und Projekte sind auf solche Angriffe nicht vorbereitet – Studien zufolge sind rund 73% der deutschen Organisationen angreifbar. Ein kostenloses E‑Book zur Cyber Security erklärt aktuelle Bedrohungen, neue Gesetze (inkl. KI‑Regulierung), priorisierte Schutzmaßnahmen und pragmatische Gegenstrategien, die Sie sofort umsetzen können – oft ohne hohe Investitionen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Die Hacker nutzten eine Schwachstelle in den Vertragsparametern aus, die einem Rundungsfehler in Kombination mit einer ungeprüften Statusaktualisierung ähnelte. Das Ergebnis? Der Angreifer konnte eine astronomische Menge an yETH-Token prägen: konkret 2,3544 x 10^56 yETH – praktisch eine unbegrenzte Anzahl.

Mit diesen frisch erzeugten Token drainierte der Hacker das Liquiditätspool systematisch. Er tauschte die wertlosen yETH gegen echte Vermögenswerte: Ethereum (ETH) und verschiedene Liquid-Staking-Token wie wstETH, rETH und cbETH. Ein klassisches Beispiel dafür, wie ein einziger Codefehler in einem dezentralen System katastrophale Folgen haben kann.

Blockchain-Sicherheitsfirma PeckShield beobachtete, wie der Angreifer sofort etwa 1.000 ETH – umgerechnet rund 2,6 Millionen Euro – über Tornado Cash leitete, ein bekanntes Protokoll zur Verschleierung von Transaktionsverläufen.

Die Spur des Geldes führt zur Teilerfolg

Doch der Angreifer machte einen entscheidenden Fehler: Ein Großteil der Beute, etwa 5,1 Millionen Euro, verblieb in Form verschiedener Liquid-Staking-Derivate in seiner Wallet. Diese Token – darunter pxETH (Pirex Ether) und frxETH – sind deutlich schwieriger anonym zu liquidieren als reines Ethereum.

Genau dieses Zeitfenster nutzten Yearn und seine Partner. In Zusammenarbeit mit den Teams von Plume und Dinero gelang am Montag, dem 1. Dezember, ein bemerkenswerter Erfolg: Die Rückholung von 857,49 pxETH im Wert von etwa 2,05 Millionen Euro.

Wie war das möglich? Das Dinero-Protokoll konnte die illegal beschafften pxETH-Token identifizieren und den Angreifer daran hindern, sie zu Geld zu machen. „Dank der schnellen Hilfe von Plume und Dinero konnten wir diese Mittel sichern”, teilte Yearn auf X mit. „Sie werden im Rahmen des Entschädigungsprozesses an die betroffenen Nutzer zurückgegeben.”

Marktreaktion: Kurssturz und Stabilisierung

Der native Governance-Token von Yearn, YFI, reagierte prompt auf die Nachricht. Am Sonntagabend brach der Kurs um etwa 4-5 Prozent ein und fiel auf rund 3.380 Euro. Nach der Bestätigung, dass die Haupt-Vaults sicher sind, stabilisierte sich der Preis jedoch wieder.

Der Vorfall zeigt einmal mehr die Risiken sogenannter „Ghost Contracts” – veralteter Code, der in der Blockchain aktiv bleibt, obwohl das Protokoll längst neuere Versionen nutzt. Während Yearns moderne V3-Vaults als besonders sicher gelten, bleiben die vergessenen Ecken des DeFi-Ökosystems attraktive Ziele für versierte Hacker.

Ein DeFi-Sicherheitsexperte brachte es auf den Punkt: „Individuelle Implementierungen von Stableswap-Logik sind notorisch schwer abzusichern. Selbst eine winzige Abweichung bei der Dezimalrundung kann in eine Infinite-Mint-Schwachstelle umgewandelt werden, wenn Eingabeparameter nicht rigoros validiert werden.”

Was kommt als Nächstes?

Mit einem Nettoverlust von noch etwa 5,6 Millionen Euro steht Yearn nun vor der Aufgabe, die betroffenen Liquiditätsanbieter zu entschädigen. Die Governance-Community wird voraussichtlich einen Kompensationsplan diskutieren, bei dem die Treasury den verbleibenden Fehlbetrag decken könnte.

Das Team hat zudem einen detaillierten technischen Post-Mortem-Bericht für die kommenden Tage angekündigt. Darüber hinaus plant Yearn eine umfassende Überprüfung aller Legacy-Verträge, um sicherzustellen, dass keine weiteren schlummernden Schwachstellen existieren.

Für die gesamte DeFi-Branche sendet dieser Hack eine klare Botschaft: Alte, maßgeschneiderte Smart Contracts können zur tickenden Zeitbombe werden. Die Abkehr von getesteten Standardbibliotheken wie denen von Curve oder OpenZeppelin öffnet Tür und Tor für Exploits. Auch etablierte Protokolle wie Yearn – vergleichbar mit deutschen DeFi-Pionieren – dürfen die Sicherheit ihrer historischen Infrastruktur nicht vernachlässigen.

Ob die restlichen Gelder noch zurückgeholt werden können? Die über Tornado Cash gewaschenen Mittel gelten als verloren. Doch die schnelle Reaktion und Kooperation im Ökosystem zeigt: Manchmal kann das dezentrale Netzwerk auch gemeinsam gegen Angreifer vorgehen.

PS: Wenn Angreifer Lücken in Smart Contracts ausnutzen, hilft oft nicht nur Code‑Hygiene, sondern auch ein robustes Sicherheitskonzept. Der kostenlose Report “Cyber Security Awareness Trends” zeigt, wie mittelständische Teams ihre IT‑Sicherheit effektiv stärken, Abläufe resilient machen und typische Angriffsvektoren abriegeln können – ohne teure Neueinstellungen. Kostenlosen Cybersecurity-Report anfordern