Никакая защита неидеальна.
В конце концов обойти можно все, что угодно. Видимо Яндекс не смог отледить скликивание вовремя, но тем не менее $ вернул сам и без пинков от заказчиков, что делает ему честь.
Кликнул бы кто-то другой - серверы бы это отследили или по IP или по куке.
