Edgen Crypto·Nov 30 2025, 22:54攻撃者がYearn Financeの流動性ステーキングデリバティブであるyETHの脆弱性を悪用し、約300万ドル相当のイーサリアムをTornado Cashミキサーを通じて資金洗浄しました。この出来事は、分散型金融(DeFi)セクターにおけるセキュリティの脆弱性、特に普及が進む流動性ステーキングトークン(LST)のシステムリスクに焦点を当てています。
Yearn Financeの流動性ステーキングエコシステム内のデリバティブ製品であるyETHに対する明らかな攻撃により、約300万ドル相当のイーサリアム(ETH)が盗まれました。悪意のあるアクターはその後、資産の不正な出所を隠蔽するために、資金の全額を分散型暗号通貨ミキシングサービスであるTornado Cashに送金しました。この事件は、分散型金融(DeFi)セクターが直面している継続的なセキュリティ課題を浮き彫りにし、多くのプロトコルの基礎的な担保となっている流動性ステーキングトークン(LST)に関連するシステムリスクに改めて焦点を当てています。
セキュリティインシデントは、Yearn Financeの流動性ステーキングトークンyETHを標的としたエクスプロイトによって展開されました。侵害後、オンチェーンデータは、約300万ドル相当の盗まれた資産がTornado Cashに移動したことを確認しています。送金はバッチで実行され、これはハッカーが追跡を複雑にするために使用する一般的な戦術です。Tornado Cashの使用は、攻撃者のウォレットと初期エクスプロイト間の追跡可能なリンクを断ち切るために設計された意図的な資金洗浄技術であり、資金の回収を極めて困難にしています。
このエクスプロイトは、ステーキングされた暗号通貨に対する請求権を表す金融商品である流動性ステーキングトークン(LST)に焦点を当てています。この場合、yETHはYearn Financeプロトコルを通じてステーキングされたETHを表します。LSTは、投資家が流動性を維持しながらステーキング報酬を得ることを可能にし、これらのトークンを貸付市場や借入市場などの他のDeFiアプリケーションで担保として展開できるようにします。
これらのツールのシステム的な重要性は非常に大きいです。データによると、LidoのstETHのような主要なLSTは、DeFiエコシステムにおける担保の相当な部分を占め、Aave V2のようなプラットフォームでの預金の約33%を占め、DeFi貸付市場全体で95億ドルの担保を構成しています。しかし、その構成可能性、つまり複数のプロトコルで利用できる能力は、潜在的な攻撃対象を広げます。Yearnの事件で見られたように、異なるスマートコントラクト間の複雑な相互作用から脆弱性が発生する可能性があります。
このエクスプロイトの直接的な影響は、Yearn Financeへの投資家信頼、ひいてはその関連製品のセキュリティへの打撃です。このような事態は、プロトコルのセキュリティ監査とリスク管理手順に対する厳格な監視を引き起こすことがよくあります。より広範な市場にとっては、DeFiスペースにおける固有のリスク、特に新しいまたはより複雑なデリバティブ製品に関連するリスクの重要なリマインダーとして機能します。この事件は、「質への逃避」につながる可能性があり、ユーザーはLidoのような、より堅牢なセキュリティを持つと認識されている、より大規模で確立されたLSTプロトコルに資産を統合するでしょう。さらに、Tornado Cashのようなミキサーが、暗号通貨ベースの不正金融経済において引き続き中心的な役割を果たしていることを浮き彫りにし、これは規制当局と開発者が引き続き取り組むべき課題です。
この攻撃は孤立した現象ではなく、DeFiセクターにおけるより広範なエクスプロイトパターンのS一部です。コアとなるイーサリアムブロックチェーン自体は安全に保たれています。脆弱性はアプリケーション層、つまりこれらの複雑な金融製品を作成するスマートコントラクト内にあります。yETHの事件は、スマートコントラクトのバグ、少数のノードオペレーターに起因する中央集権化リスク、プロトコルガバナンスの脆弱性など、LSTに関連するより広範なリスクの物語に合致しています。流動性ステーキングは資本効率に明確な利益をもたらしますが、DeFiの構造への迅速な統合は、単一の障害点がエコシステム全体に連鎖的な影響を与える可能性があることを意味し、厳格なセキュリティ慣行とリスク分散の必要性を強化します。