在 2025 年 11 月 30 日大約 21:11 UTC,攻擊者利用 Yearn Finance 遺留 yETH 代幣合約的鑄幣漏洞。透過在單一交易中鑄造約235萬億 yETH 代幣,攻擊者得以從 Curve 的主要穩定幣交換池挪走約800萬美元,以及從 yETH-WETH 池挪走90萬美元,合計損失近900萬美元。約等於1,000 ETH 的資金隨後經 Tornado Cash 混幣器路由以掩蓋痕跡。
Yearn Finance 及時確認事件,說明此次漏洞僅影響遺留 yETH 的自訂穩定幣交換實作,未危及 V2 或 V3 Vault 基礎設施,兩者合計的鎖定價值超過 6 億美元。此事件成為 Yearn 協議歷史上的最新安全漏洞,繼 2021 年的先前攻擊與 2023 年的多簽相關問題之後,凸顯在保護遺留代碼方面仍面臨的挑戰。
安全公司 SEAL 911 與 ChainSecurity 的區塊鏈分析顯示,部署了執行後自動銷毀的臨時輔助合約,增加了法證工作難度。攻擊者利用這些合約來膨脹 yETH 的供應並提取實資,未觸發標準鑄幣上限防護。鏈上警報立即標示異常,Yearn 的治理社群在不久之後開始討論賠償選項。
事件發生後,協議的原生代幣 YFI 出現約5.5% 的突然下跌,反映投資者信心下降與協議收入預期的暫時下降。由於套利機器人和反應性交易者利用價格差異進行交易,交易量激增,進一步加劇 Yearn 相關市場的波動。
為因應此事件,Yearn Finance 推出多管齊下的整頓計畫,包括一項治理提案,授權價值320萬美元的 USDC Merkle 空投給受影響的利害關係人、實施 v1.1 修補以強制執行鑄幣上限,以及在所有穩定幣交換池部署實時監控工具。同時提出50萬美元的漏洞賞金以收集相關發現,目標是在加強程式碼安全並恢復用戶信心。
此漏洞再次提醒在與日新月異的協議標準並存的情況下,維護遺留 DeFi 合約所固有的風險。協議架構師強調計畫逐步淘汰遺留元件,改採經過審核且由社群驗證的替代方案,同時強調核心金庫的韌性。觀察人士指出,無限鑄幣漏洞仍然是去中心化金融中的重要攻擊向量,促使社群呼籲制定標準化的安全框架並進行持續的第三方審查。
儘管發生漏洞,Yearn 的 V2 與 V3 金庫的流動性仍然完好,未有用戶存款或操作方面的中斷報告。市場參與者密切關注治理討論與審計結果,評估對協議代幣經濟學及更廣泛的 DeFi 生態系統的長期影響。此事件凸顯在保護去中心化金融基礎設施方面,維持警覺的安全實踐與快速事件回應的重要性。
評論 (0)