YO Protocol серйозно повідомляє про помилку при обміні: вартістю близько 3,84 мільйонів доларів США stkGHO під час однієї операції ребалансування активів випадково було обміняно через екстремальний пул Uniswap v4, отримавши лише близько 12,2 тисячі доларів USDC, що миттєво знецінилося майже на 3,7 мільйони доларів США.
(Попередній огляд: протокол TrueBit ймовірно зазнав хакерської атаки! 8 535 ETH були несподівано виведені, $TRU миттєво зменшено в ціні)
(Додатковий контекст: хакери з Північної Кореї 2025 року встановили рекорд крадіжки: викрали 2,02 мільярди доларів у криптовалюті, цикл відмивання коштів — близько 45 днів)
Зміст статті
- Хроніка подій
- Швидка реакція команди YO Protocol
- Підсумок причин інциденту
Компанія з безпеки блокчейну BlockSec опублікувала останній допис, у якому повідомляє, що 13 січня 2026 року протокол DeFi YO Protocol зазнав серйозної аномальної операції обміну. Це не є класичною вразливістю смарт-контракту або хакерською атакою, а серйозною помилкою у процесі операції, що призвела до втрати близько 3,84 мільйонів доларів stkGHO (заставлені GHO токени від Aave) під час обміну на USDC, коли було отримано лише близько 12,2 тисячі доларів USDC, фактична втрата склала майже 3,7 мільйони доларів.
YO protocol (@yield) повідомлявся про дивний обмін на #Ethereum: ~$3.84М stkGHO закінчився лише ~$122K USDC. Команда вжила заходів, включаючи купівлю GHO та повторне депонування stkGHO у сейф.
Наше розслідування показує, що розбіжність могла виникнути через дві… pic.twitter.com/ttbZwv5zEt
— BlockSec Phalcon (@Phalcon_xyz) 13 січня 2026 року
Хроніка подій
За даними аналізу кількох команд з безпеки, таких як BlockSec, інцидент виник через оператора (або автоматичного keeper) Yo Vault протоколу YO Protocol, який виконав велику операцію ребалансування активів: обмін близько 3,84 мільйонів доларів stkGHO на USDC. Ця транзакція мала бути знайдена через агрегатор для пошуку найкращого маршруту, але була спрямована до пулу Uniswap v4 з надзвичайно низькою ліквідністю та високими комісіями (або з використанням налаштованого hook).
Через неправильний вибір маршруту та ймовірно через те, що ініціатор не встановив обмеження на скільки він готовий допустити цінових коливань (навіть без захисту), виникли екстремальні цінові шоки та великі витрати, які були зняті провайдерами ліквідності (LP) цього пулу Uniswap v4. В результаті, лише близько 11,2–12,2 тисячі доларів USDC повернулися до протоколу.
Швидка реакція команди YO Protocol
Після інциденту команда YO Protocol за кілька годин здійснила такі заходи:
- За допомогою агрегатора CoW Swap з MEV-захистом викупила близько 3,71 мільйона доларів GHO.
- Повторно депонувала еквівалент stkGHO у Vault, швидко відновивши ліквідність.
- Тимчасово призупинила ринок YoUSD на Pendle, щоб завершити корекцію та знову відкрити.
Крім того, команда залишила повідомлення у ланцюгу, пропонуючи LP, які отримали прибуток, співпрацювати: рекомендує зберегти 10% як винагороду за вразливість, решту повернути дружньо, сподіваючись вирішити конфлікт у приватному порядку.
Підсумок причин інциденту
Цей інцидент не є вразливістю самого контракту YO Protocol, а є класичним прикладом операційного ризику та особливостей взаємодії з Uniswap v4. Основні фактори включають:
- Помилки автоматичних скриптів або маршрутизації агрегатора, які привели до випадкового входу у надзвичайно налаштований пул v4 (з вузькою ліквідністю та можливими високими комісіями або динамічним ціноутворенням через hook).
- Відсутність достатніх захисних механізмів, таких як білі списки пулів, обмеження на скільки можна допустити цінових коливань, перевірки впливу на ціну.
- З моменту запуску Uniswap v4 у 2025 році його hook-механізм, хоча й інноваційний, став потенційним ризиком «цінового бомбардування», особливо для великих транзакцій.
Багато команд з безпеки одностайно вважають, що це — приклад «масштабованої операційної помилки», а не зловмисного нападу, і попереджають DeFi-протоколи про необхідність значного посилення заходів безпеки при автоматичних великих операціях.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Деякий CEX знову відмовився підтримувати останній проект закону Clarity, розбіжності залишаються щодо положень про дохід від стейблкоїнів
Певна CEX повторно заявила американському Сенату, що не може підтримати останній проект Закону про ясність, через фундаментальні розбіжності щодо положень про дохід від стейблкойнів. CEX висловила "серйозні занепокоєння" щодо нового пропозиції та вказала, що такий напрямок регулювання матиме суттєвий вплив на її майбутне фінансове становище.
GateNews3год тому
Circle розморозив гаманці, пов'язані з однією цивільною судовою справою, попередні масові заморожування піддавалися критиці за непрофесіоналізм
On-chain detective ZachXBT pointed out that Circle unfroze 130,966 USDC balance in a wallet associated with Goated. Previously, Circle had frozen 16 hot wallets in response to a U.S. civil lawsuit, and the decision to freeze lacked substantiation, affecting the company's daily operations.
BlockBeatNews3год тому
Розподілена Шень Бо: встановлення винагороди за розшук близько 42 мільйонів доларів, вкрадених три роки тому
Засновник Distributed Capital Шень Бо зазнав крадіжки особистого гаманця у листопаді 2022 року зі збитками близько 42 мільйонів доларів США. Після трьох років відстеження команда отримала ключові підказки та публічно закликає осіб, які надають інформацію, пропонуючи винагороду 10%–20% залежно від внеску. На даний момент заморожено близько 1,2 мільйона доларів США активів і висловлена подяка особам та командам, які постійно надають допомогу.
BlockBeatNews4год тому
Circle заморозила залишки USDC на 16 гарячих гаманців, включаючи біржі та інші бізнес-операції
Gate News повідомлення: 26 березня, згідно з розголошенням ZachXBT, Circle заморозила залишки USDC в 16 операційних гарячих гаманцях 25 березня. Відповідні компанії заявили, що цей крок пов'язаний з американською цивільною справою, деталі якої ще не розголошені. ZachXBT стверджує, що після перевірки даних блокчейну ці адреси пов'язані з біржами, азартними закладами та валютними операціями без явних зв'язків між ними, а блокування вже вплинуло на операційну діяльність відповідних бізнесів.
GateNews5год тому
Circle залучає Sasai для розширення USDC для трансграничних платежівในAfrican
(Note: I noticed "Sasai" appears to be a company name and is typically not translated. Also, I see "inom African" which appears to be mixed language. Here's the corrected translation:)
Circle залучає Sasai для розширення USDC для трансграничних платежів в Африці
Circle розширює використання свого USD Coin (USDC) в Африці через стратегічне партнерство з Sasai Fintech. Співпраця спрямована на інтеграцію USDC в платіжну інфраструктуру Sasai, охоплюючи трансфери через кордони, корпоративні платежі та гаманці для споживачів, з метою зниження витрат та
CryptoBreaking8год тому
Bitwise:Circle估值у 2030 році може досягти 75 мільярдів доларів, аналітики підтримують ціну акцій
Незважаючи на те, що ціна акцій Circle упала приблизно на 20% у останній час, установи залишаються оптимістичними щодо її перспектив, прогнозуючи оцінку в розмірі 75 мільярдів доларів до 2030 року. Аналітики вважають, що розширення ринку стейблкойнів та його частка на ринку продовжуватимуть стимулювати розвиток Circle, і що її вплив може бути обмежений процесом дотримання вимог конкурентів.
BlockBeatNews14год тому
