2025年11月30日大约21:11 UTC,一名攻击者利用 Yearn Finance 遗留 yETH 代币合约中的铸造漏洞。在一次交易中大约铸造了235万亿个 yETH 代币,攻击者因此从 Curve 的主稳定币换池中窃取约800万美元,并从 yETH-WETH 池中再损失90万美元,总损失近900万美元。相当于约1000 ETH 的资金随后通过 Tornado Cash 混币器路由,以掩盖痕迹。
Yearn Finance 迅速确认此事件,澄清此次利用仅影响遗留 yETH 的自定义稳定币换池实现,并未危及 V2 或 V3 Vault 基础设施,这些 Vault 的总锁定价值超过6亿美元。这起事件成为 Yearn 协议历史上最新的安全漏洞,继2021年的前次攻击以及2023年的多签相关问题之后,凸显了在保护遗留代码方面持续存在的挑战。
安全公司 SEAL 911 与 ChainSecurity 的区块链分析显示,部署了执行后自我销毁的短期辅助合约,增加了取证难度。攻击者利用这些合约膨胀 yETH 供应并提取真实资产,而未触发标准铸造上限防护。链上警报立即标记异常,Yearn 的治理社区在不久后便开始就赔偿选项展开讨论。
事件发生后,协议原生代币 YFI 的价格突然下跌约5.5%,反映出投资者信心下降以及对协议收入预测的暂时下降。交易量激增,套利机器人和反应性交易者利用价格错配获利,进一步加剧了 Yearn 相关市场的波动。
为此,Yearn Finance 启动了多管齐下的整改计划,包括通过治理提案授权向受影响的利益相关者空投价值320万美元的 USDC Merkle 空投,实施 v1.1 补丁以执行铸造上限,以及在所有稳定币换池部署实时监控工具。还为相关发现设立了50万美元的漏洞赏金,旨在加强代码安全并恢复用户信心。
此次攻击再次提醒在维护遗留 DeFi 合约与持续演进的协议标准并存时所固有的风险。协议架构师强调计划逐步淘汰遗留组件,转而采用经审计、社区核验的替代方案,同时强调核心 Vault 的韧性。观察人士指出,无限铸造漏洞仍然是去中心化金融中的关键攻击向量,促使人们呼吁建立标准化的安全框架并进行持续的第三方审查。
尽管发生了这次漏洞,Yearn 的 V2 和 V3 Vault 的流动性保持完好,未报告用户存款或运营受到中断。市场参与者密切关注治理讨论和审计结果,评估对协议代币经济学以及更广泛的 DeFi 生态系统的潜在长期影响。此次事件凸显了在保护去中心化金融基础设施方面,警惕性安全实践和快速事件响应的重要性。
评论 (0)