YO Protocol серйозно повідомляє про помилку при обміні: вартістю близько 3,84 мільйонів доларів США stkGHO під час однієї операції ребалансування активів випадково було обміняно через екстремальний пул Uniswap v4, отримавши лише близько 12,2 тисячі доларів USDC, що миттєво знецінилося майже на 3,7 мільйони доларів США.
(Попередній огляд: протокол TrueBit ймовірно зазнав хакерської атаки! 8 535 ETH були несподівано виведені, $TRU миттєво зменшено в ціні)
(Додатковий контекст: хакери з Північної Кореї 2025 року встановили рекорд крадіжки: викрали 2,02 мільярди доларів у криптовалюті, цикл відмивання коштів — близько 45 днів)

Зміст статті

• Хроніка подій
• Швидка реакція команди YO Protocol
• Підсумок причин інциденту

Компанія з безпеки блокчейну BlockSec опублікувала останній допис, у якому повідомляє, що 13 січня 2026 року протокол DeFi YO Protocol зазнав серйозної аномальної операції обміну. Це не є класичною вразливістю смарт-контракту або хакерською атакою, а серйозною помилкою у процесі операції, що призвела до втрати близько 3,84 мільйонів доларів stkGHO (заставлені GHO токени від Aave) під час обміну на USDC, коли було отримано лише близько 12,2 тисячі доларів USDC, фактична втрата склала майже 3,7 мільйони доларів.

YO protocol (@yield) повідомлявся про дивний обмін на #Ethereum: ~$3.84М stkGHO закінчився лише ~$122K USDC. Команда вжила заходів, включаючи купівлю GHO та повторне депонування stkGHO у сейф.

Наше розслідування показує, що розбіжність могла виникнути через дві… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) 13 січня 2026 року

Хроніка подій

За даними аналізу кількох команд з безпеки, таких як BlockSec, інцидент виник через оператора (або автоматичного keeper) Yo Vault протоколу YO Protocol, який виконав велику операцію ребалансування активів: обмін близько 3,84 мільйонів доларів stkGHO на USDC. Ця транзакція мала бути знайдена через агрегатор для пошуку найкращого маршруту, але була спрямована до пулу Uniswap v4 з надзвичайно низькою ліквідністю та високими комісіями (або з використанням налаштованого hook).

Через неправильний вибір маршруту та ймовірно через те, що ініціатор не встановив обмеження на скільки він готовий допустити цінових коливань (навіть без захисту), виникли екстремальні цінові шоки та великі витрати, які були зняті провайдерами ліквідності (LP) цього пулу Uniswap v4. В результаті, лише близько 11,2–12,2 тисячі доларів USDC повернулися до протоколу.

Швидка реакція команди YO Protocol

Після інциденту команда YO Protocol за кілька годин здійснила такі заходи:

• За допомогою агрегатора CoW Swap з MEV-захистом викупила близько 3,71 мільйона доларів GHO.
• Повторно депонувала еквівалент stkGHO у Vault, швидко відновивши ліквідність.
• Тимчасово призупинила ринок YoUSD на Pendle, щоб завершити корекцію та знову відкрити.

Крім того, команда залишила повідомлення у ланцюгу, пропонуючи LP, які отримали прибуток, співпрацювати: рекомендує зберегти 10% як винагороду за вразливість, решту повернути дружньо, сподіваючись вирішити конфлікт у приватному порядку.

Підсумок причин інциденту

Цей інцидент не є вразливістю самого контракту YO Protocol, а є класичним прикладом операційного ризику та особливостей взаємодії з Uniswap v4. Основні фактори включають:

• Помилки автоматичних скриптів або маршрутизації агрегатора, які привели до випадкового входу у надзвичайно налаштований пул v4 (з вузькою ліквідністю та можливими високими комісіями або динамічним ціноутворенням через hook).
• Відсутність достатніх захисних механізмів, таких як білі списки пулів, обмеження на скільки можна допустити цінових коливань, перевірки впливу на ціну.
• З моменту запуску Uniswap v4 у 2025 році його hook-механізм, хоча й інноваційний, став потенційним ризиком «цінового бомбардування», особливо для великих транзакцій.

Багато команд з безпеки одностайно вважають, що це — приклад «масштабованої операційної помилки», а не зловмисного нападу, і попереджають DeFi-протоколи про необхідність значного посилення заходів безпеки при автоматичних великих операціях.