Sự cố bất thường tại yETH: Hơn 1.000 ETH biến mất chỉ trong vài giây

Giao thức yield-farming Yearn Finance đang trở thành tâm điểm chú ý sau khi dữ liệu on-chain ghi nhận một vụ việc được cho là tấn công tinh vi nhắm vào sản phẩm Yearn Ether (yETH). Đây là sản phẩm tổng hợp các token Liquid Staking (LST) phổ biến thành một token duy nhất, giúp tối ưu thanh khoản và lợi suất cho người dùng.

*Giao thức Yearn Finance ($YFI) bị hack thiệt hại $3M*

Theo ghi nhận, một giao dịch duy nhất đã khiến toàn bộ thanh khoản của pool yETH khoảng hơn 11 triệu USD bị rút sạch chỉ trong tích tắc. Khoảng 1.000 ETH (ước tính gần 3 triệu USD theo giá hiện tại) đã được chuyển thẳng vào Tornado Cash ngay sau giao dịch, làm dấy lên nghi vấn đây là hành vi hack có chủ đích.

Kẻ tấn công lợi dụng cơ chế “super mint” để tạo yETH gần như vô hạn

Phân tích blockchain cho thấy kẻ tấn công đã khai thác một lỗ hổng liên quan đến cơ chế mint yETH. Thông qua một chuỗi smart contract được deploy ngay trước khi thực hiện hành vi, attacker đã mint lượng yETH gần như không giới hạn vượt xa khả năng bảo chứng của pool.

Điều đáng chú ý là một số contract đã tự hủy (self-destruct) ngay sau khi hoàn tất quá trình tấn công, thể hiện sự chuẩn bị kỹ lưỡng nhằm che giấu dấu vết.

Người phát hiện đầu tiên, tài khoản X có tên Togbe, cho biết họ quan sát thấy lượng yETH bất thường được mint ra rồi rút khỏi pool trong thời gian rất ngắn. Dữ liệu ban đầu cho thấy attacker có thể đã “hy sinh” một phần ETH để kích hoạt lỗ hổng, đổi lại lợi nhuận ròng khoảng 1.000 ETH.

Phản hồi từ Yearn Finance: Các Yearn Vaults vẫn an toàn

Ngay sau khi cộng đồng phát hiện sự cố, Yearn Finance đã chính thức lên tiếng trên X rằng đội ngũ đang điều tra vụ việc tại pool yETH. Giao thức nhấn mạnh rằng các Yearn Vaults bao gồm cả V2 và V3 không bị ảnh hưởng, nhằm xoa dịu tâm lý lo lắng của người dùng.

We are investigating an incident involving the yETH LST stableswap pool.

Yearn Vaults (both V2 and V3) are not affected.
— yearn (@yearnfi) November 30, 2025

Sự cố lần này đặt ra nhiều câu hỏi về tính an toàn của các sản phẩm tổng hợp LST, đặc biệt khi thị trường DeFi nói chung đang phát triển mạnh mẽ nhưng cũng đi kèm rủi ro tấn công ngày càng phức tạp.

Lịch sử sự cố bảo mật của Yearn Finance: Không phải lần đầu bị tấn công

Yearn Finance từng ghi nhận một số vụ việc lớn:

Năm 2021: Vault yDAI bị tấn công, thiệt hại tổng cộng 11 triệu USD, hacker chiếm đoạt khoảng 2,8 triệu USD.
Tháng 12/2023: Một lỗi script khiến 63% giá trị một vị thế treasury bị xóa sạch, nhưng may mắn không ảnh hưởng người dùng.
Năm 2022: Nhà sáng lập Andre Cronje rời dự án, để lại giai đoạn vận hành chủ yếu do cộng đồng và đội ngũ phát triển cốt lõi điều phối.

Sự cố lần này càng cho thấy DeFi vẫn là môi trường đầy tiềm năng nhưng chứa đựng nhiều rủi ro, nơi chỉ một lỗ hổng nhỏ cũng có thể dẫn đến thiệt hại hàng triệu USD.

Tác động tới thị trường DeFi và các giao thức LST

Vụ việc yETH có thể khiến thị trường LST tập trung hơn vào vấn đề audit, bảo mật và thiết kế sản phẩm. Khi các pool ngày càng phức tạp và kết hợp nhiều token khác nhau, chỉ một sai sót trong logic mint – redeem đã đủ để tạo ra lỗ hổng nghiêm trọng.

Trong bối cảnh dòng tiền đang dần trở lại các giao thức sinh lời sau giai đoạn thị trường phục hồi, sự cố tại Yearn Finance như một lời nhắc nhở về rủi ro cố hữu trong DeFi.

Kết luận

Sự cố pool yETH bị “rút cạn” đang đặt Yearn Finance dưới áp lực lớn khi người dùng bày tỏ lo ngại về tính an toàn và minh bạch. Tuy nhiên, với việc Yearn nhanh chóng phản hồi và khẳng định các vault cốt lõi không bị ảnh hưởng, cộng đồng vẫn đang chờ đợi kết quả điều tra chính thức để xác định phạm vi thiệt hại và hướng xử lý tiếp theo.

Đọc thêm: