於2025年11月30日,約在 UTC 21:11 時,攻擊者利用 Yearn Finance 遺留 yETH 代幣合約中的鑄幣漏洞。在單一交易中大約創建235萬億個 yETH 代幣,攻擊者因此從主要的穩定幣交換池提取約800萬美元,並從 Curve 的 yETH-WETH 池提取約90萬美元,合計近900萬美元的損失。資金等值約 1,000 ETH,隨後經 Tornado Cash 混合器路由,以掩蓋蹤跡。
Yearn Finance 及時確認事件,澄清該漏洞僅影響遺留 yETH 的自訂穩定交換實作,未影響 V2 或 V3 Vault 基礎架構,兩者合計的鎖定價值超過 6 億美元。該事件是 Yearn 協議歷史上最新的安全漏洞,此前在 2021 年曾出現攻擊,以及 2023 年的多簽相關問題,凸顯在保護遺留程式碼方面的持續挑戰。
安全公司 SEAL 911 與 ChainSecurity 的區塊鏈分析顯示部署了執行後自我銷毀的臨時輔助合約,增加法證難度。攻擊者利用這些合約膨脹 yETH 供應並提取實物資產,卻未觸發標準的鑄幣上限保護。鏈上警報立即標註異常,Yearn 的治理社群隨後開始討論賠償選項。
事件發生後,該協議原生 YFI 代幣價格突然下跌約 5.5%,反映投資者信心下降以及協議收入預測的短期下調。交易量飆升,套利機器人與反應性交易者利用價差,進一步加劇 Yearn 相關市場的波動。
Yearn Finance 啟動多管齊下的補救計畫,包括一項治理提案,授權向受影響的利害關係人發放價值 320 萬美元的 USDC Merkle 空投;實施 v1.1 修補以強制執行鑄幣上限,並在所有穩定幣交換池部署實時監控工具。此外,為相關發現提供 50 萬美元的錯誤賞金,目標是加強程式碼安全並恢復用戶信心。
該事件提醒在維護遺留 DeFi 合約與日新月異的協議標準並存的風險。協議架構師強調計畫淘汰遺留元件,改用經審核且社群認可的替代方案,同時強調核心 Vault 的韌性。觀察人士指出,無限鑄幣漏洞仍是去中心化金融中的關鍵攻擊向量,促使人們呼籲建立標準化的安全框架並持續進行第三方審查。
儘管發生漏洞,Yearn 的 V2 與 V3 Vault 的流動性仍然完好,未有用戶存款或營運中斷的報告。市場參與者密切關注治理討論與審計結果,評估對協議代幣經濟與更廣泛的 DeFi 生態系統的長期影響。事件凸顯在保護去中心化金融基礎設施方面,警覺的安全實務與快速事件回應的重要性。
評論 (0)