2025年11月30日UTC时间约21:11时,攻击者利用Yearn Finance遗留的yETH代币合约中的铸币漏洞。
在一次交易中大约铸造235万亿枚yETH代币,攻击者得以从Curve的主稳定币池转走约800万美元,从yETH-WETH池转走约90万美元,总损失近900万美元。
相当于大约1,000个ETH的资金随后经Tornado Cash混币器路由,以掩盖轨迹。
Yearn Finance 迅速确认事件,澄清此次漏洞仅影响遗留yETH的自定义稳定兑换实现,并未波及V2或V3 Vault基础设施,二者合计锁定总价值超过6亿美元。
此次事件是Yearn协议历史上最新的安全漏洞,继2021年的前次被利用和2023年的多签问题之后,凸显出在保护遗留代码方面持续面临的挑战。
安全公司SEAL 911和ChainSecurity的区块链分析显示,部署了执行后自毁的短期辅助合约,增加了取证难度。
攻击者利用这些合约膨胀yETH供应并提取实际资产,未触发常规铸币上限保护。
链上警报即时标记异常,随后不久Yearn的治理社区就赔偿选项展开讨论。
事件发生后,协议原生代币YFI价格突然下挫约5.5%,反映出投资者信心下降以及对协议收入预测的短期下滑。
随着套利机器人和交易者利用价格错位进行交易,交易量激增,进一步加剧了Yearn相关市场的波动性。
为应对该事件,Yearn Finance 启动多管齐下的整改计划,包括一项治理提案,授权向受影响方空投总额为320万美元的USDC Merkle 空投;实施v1.1补丁以加强铸币上限的强制执行;并在所有稳定币兑换池部署实时监控工具。还提供50万美元的漏洞赏金,旨在强化代码安全并恢复用户信心。
此次攻击提醒了在随协议标准演进的同时维护遗留DeFi合约所固有的风险。
协议架构师强调计划逐步淘汰遗留组件,转而采用经审计、社区验证的替代方案,同时强调核心 Vault 的韧性。
观察人士指出,所谓无限铸币漏洞仍然是去中心化金融中的一个关键攻击向量,因此呼吁建立标准化的安全框架并持续进行第三方评审。
尽管发生漏洞,Yearn 的V2和V3 vault的流动性仍然完好,用户存款或运营未出现中断。
市场参与者密切关注治理讨论和审计发现,评估对协议代币经济学和更广泛的DeFi生态系统的潜在长期影响。
此次事件强调了在保护去中心化金融基础设施方面,警惕的安全实践和快速事件响应的重要性。
评论 (0)