Bitcoin-fedezett stabilcoin került bajba – komoly sebezhetőséget használtak ki a hackerek
Egyetlen nap alatt omlott össze a YU árfolyama, miután egy támadó több mint 100 millió tokent generált a semmiből
A Bitcoin-alapú YU stablecoin árfolyama vasárnap szinte teljesen összeomlott, miután egy ismeretlen támadó súlyos hibát használt ki a protokoll okosszerződéseiben. A token az eredeti 1 dolláros értékéről mindössze néhány óra alatt 0,20 dollárig esett vissza – ez 80%-os zuhanásnak felel meg. A Yala protokoll fejlesztői azonnali lépéseket tettek a károk enyhítésére, de a piac bizalma megingott. A támadás nemcsak a YU jövőjét kérdőjelezi meg, hanem újra reflektorfénybe helyezi a decentralizált stabilcoinok biztonsági kihívásait is.
Mi az a YU stablecoin, és miért lett ennyire népszerű?
A YU stablecoin egy decentralizált, Bitcoin-alapú digitális stabilérme, amelyet a Yala protokoll fejlesztett ki azzal a céllal, hogy alternatívát kínáljon a hagyományos, központosított stabilcoinokkal (mint az USDT vagy az USDC) szemben. A YU egyik legfőbb újítása, hogy Bitcoin fedezettel működik, amelyet a felhasználók önálló letétben (self-custody) vagy decentralizált tárolóban (vault) őriznek – azaz a protokoll nem tartja közvetlenül a fedezetet, így elvileg ellenállóbb a centralizált kockázatokkal szemben.
A YU célja az volt, hogy 1:1 arányban kövesse az amerikai dollárt, stabil értékmegőrzést kínálva DeFi környezetben. A token 2024 elején indult, és gyorsan népszerűvé vált, részben olyan neves befektetők támogatásának köszönhetően, mint a Dragonfly Capital, valamint a Polygon Ventures által biztosított korai likviditás révén. A projekt rövid idő alatt jelentős közösséget épített ki maga köré, és a decentralizált pénzügyi világ egyik ígéretes alternatívájaként tartották számon – egészen a mostani válságig.
Több mint 100 millió tokent nyomtatott a támadó – így zajlott a Yala protokoll kihasználása
A támadás során egy ismeretlen hacker kritikus sebezhetőséget használt ki a Yala protokoll egyik okosszerződésében. A blockchain-elemző cég, a Lookonchain jelentése szerint a támadó 120 millió YU tokent nyomtatott a Polygon hálózaton, mindenféle fedezet nélkül. Ez a művelet lényegében „semmiből teremtett értéket” jelentett, ami teljesen szétzilálta a token árfolyamegyensúlyát.
A támadó ezután 7,71 millió YU tokent hídalt át (bridging) az Ethereum és Solana láncokra, majd ezekért cserébe 7,7 millió USDC-t szerzett, amit aztán 1 501 darab Ethereum-ra váltott, és több különböző tárcában helyezett el – ez a klasszikus módszer az ellopott eszközök nyomon követésének megnehezítésére.
További veszélyt jelent, hogy a támadó még mindig több tízmillió YU tokent birtokol:
-
22,29 millió token van jelenleg is az Ethereum és Solana hálózatokon,
-
90 millió YU token továbbra is a Polygon láncon van, áthidalás nélkül.
Ez a tartalék bármikor újabb eladási nyomást jelenthet a piacon, ha a hacker úgy dönt, tovább értékesíti őket.
A Yala gyors reagálása: funkciók letiltása és biztonsági audit
A Yala fejlesztőcsapata azonnal reagált a támadásra, és leállította a protokoll Convert (átváltás) és Bridge (áthidalás) funkcióit, hogy megakadályozza a helyzet súlyosbodását. Közben közleményben hangsúlyozták, hogy:
“Minden Bitcoin fedezet továbbra is sértetlen, mivel vagy saját őrzésben van, vagy trezorokban tároljuk. Nem történt veszteség az alapeszközökben.”
Ez fontos részlet, hiszen a YU egyik fő ígérete éppen az volt, hogy a mögöttes BTC-fedezet mindig biztonságban van. A támadás tehát nem a Bitcoin-tartalékokat érte, hanem a tokenkibocsátás logikájában és okosszerződéseiben rejlő hibát.
A protokoll a hírek szerint partnerségre lépett a blokklánc-biztonsággal foglalkozó SlowMist csapattal, akik segítenek kivizsgálni a pontos okokat, a támadó kilétét, és javaslatokat tesznek a biztonsági javításokra.
Gyenge likviditás, piaci pánik – miért nem tudott visszaállni a peg?
A támadást követően a YU árfolyama rövid időre 0,917 dollárig visszakapaszkodott, ám azóta ismét 0,79 dollár körüli szinten mozog – még mindig messze az 1 dolláros céltól. Ennek oka részben a piaci pánik, részben pedig a YU-hoz kapcsolódó gyenge likviditási struktúra.
A DEX Screener adatai szerint a YU token Ethereum-pooljában mindössze 340 000 dollárnyi USDC volt elérhető. Ez elképesztően kevés egy olyan projekt esetében, amely 119 millió dolláros piaci kapitalizációval rendelkezik. Az alacsony likviditás azt eredményezte, hogy akár kis volumenű eladások is drasztikus áresést okoztak – ezt láttuk is a támadás során.
Tovább súlyosbította a helyzetet, hogy a nagyobb tőzsdék – köztük a Bybit és az OKX – átmenetileg felfüggesztették a YU token be- és kiutalását, hivatkozva a hálózat instabilitására. Ez megakadályozta az arbitrázs-kereskedők beavatkozását, akik normál esetben segíthetnének az árfolyam visszaterelésében a peg szinthez.
Milyen tanulságokat hoz a YU incidens a DeFi világ számára?
A YU elleni támadás újabb példája annak, hogy a decentralizált pénzügyi rendszerek (DeFi) technikai sérülékenysége valódi pénzügyi kockázatot jelent – függetlenül attól, milyen jól hangzik a mögöttes koncepció.
Bár a YU-t Bitcoin fedezettel indították, ami elvileg a legbiztonságosabb és leglikvidebb kriptoeszköz, a stabilcoin mégis egy okosszerződés-hiba miatt omlott össze. Ez azt mutatja, hogy nem elég az erős fedezet: a kód minősége, a biztonsági auditálás, és a likviditásmenedzsment legalább ilyen fontos.
A támadás hasonlóságokat mutat a 2022-es Nomad bridge hackkel, amely során egy másik DeFi protokollban is „végtelen token nyomtatás” történt, és amely több mint 190 millió dollárnyi kárt okozott.
Záró gondolatok: visszatérhet-e a bizalom a YU stablecoin iránt?
A következő hetek meghatározóak lesznek a Yala protokoll és a YU stablecoin jövője szempontjából. Ha a fejlesztők gyorsan orvosolják a hibákat, sikerül visszaállítani a peg-et, és megerősíteni a biztonsági intézkedéseket, akkor van esély a bizalom részleges helyreállítására.
Ha viszont nem történik hatékony beavatkozás, akkor a YU esete figyelmeztető példává válhat minden decentralizált stabilcoin-projekt számára: a technikai részleteken valóban milliárdos értékek múlhatnak.
