Yearn Finance遭遇重大yETH漏洞攻擊，數百萬LST代幣被盜

收益耕作協議 Yearn Finance 正忙於評估其 Yearn ETHer (yETH) 產品遭受的複雜攻擊造成的損失，該攻擊在一次交易中就導致價值數百萬美元的流動性質押代幣 (LST) 被盜走。

區塊鏈數據這表明攻擊者鑄造了幾乎無限量的 yeth，使他們能夠在將部分被盜資金路由到 Tornado Cash 之前耗盡資金池。

yETH金庫旨在將包括stETH、rETH等在內的一系列熱門LST代幣聚合為一個統一的代幣。 但就在周日晚些時候，這一機制卻成為了一個關鍵的故障點。

超級薄荷糖漏洞清空了池子

根據區塊鏈追踪記錄，攻擊者通過新部署的智能合約執行了一系列交易，其中一項交易生成了“幾乎無限量”的 yETH。 在人為製造的代幣供應到位後，攻擊者迅速從資金池中提取資產，瞬間耗盡了資金池的流動性。

大約 1000 個 ETH（按當前價格計算價值約 300 萬美元）迅速流入了隱私混合器 Tornado Cash。 損失的全部規模尚不清楚，但yETH池襲擊發生前，他擁有約 1100 萬美元的資產。

獨立調查員兼 X 用戶 Togbe 最先發現了這一異常情況，他表示，這些動作類似於觸發了超級薄荷糖功能。

Togbe告訴媒體：“淨轉賬數據顯示，yETH超級鑄幣讓攻擊者榨乾了資金池，獲利約1000個ETH。雖然其他ETH也在此次事件中被犧牲，但他們仍然獲利了結。”

Yearn Finance做出回應

YeARn Finance在警報響起後不久便承認了這起事件，並在X上發布了聲明：

“我們正在調查一起涉及 yETH LST 穩定幣池的事件。Yearn Vaults（包括 V2 和 V3）不受影響。”

這種區別對用戶至關重要。 Yearn 的金庫——管理著規模更大的生態系統資產池——似乎並未受到影響。 相反，攻擊者專門針對的是圍繞較新的 yETH 產品構建的智能合約基礎設施。

儘管如此，此次安全漏洞仍是 Yearn 自 2021 年以來最嚴重的安全事件之一，在 DeFi 市場流動性仍然不足的情況下，再次引發了人們對複雜收益策略安全性的關注。

協議壓力史

這並非Yearn Finance首次遭遇重大安全漏洞攻擊。 2021年2月，其yDai金庫遭到攻擊，損失高達約1100萬美元，黑客竊取了近300萬美元。

2023年12月，該協議披露，一個故障腳本導致其一個金庫頭寸損失了63%。 雖然該事件並未影響用戶資金，但引發了人們對Yearn內部運營保障措施的擔憂。

Yearn早期的成功與其備受矚目的創始人Andre cronje密切相關，他於2020年推出了該平台。 已離開該項目於 2022 年啟動。 自那時起，這個由社區運營的協議不斷推出新的收益產品和集成，包括命運多舛的 yETH 池。

接下來會發生什麼？

由於數百萬美元的 LST 資金丟失，並且攻擊者的踪跡被 Tornado Cash 部分掩蓋，調查人員正在爭分奪秒地拼湊出此次攻擊是如何進行的，以及是否有任何資金能夠真正追回。

安全研究人員表示，此次攻擊的架構表明攻擊者對 Yearn 的合約系統有著深入的了解，這增加了攻擊可能存在復雜漏洞或經濟設計缺陷的可能性，而不是傳統的重入攻擊或預言機操縱攻擊。

在 Yearn 努力控制事態發展的同時，更廣泛的 DeFi 社區再次面臨複雜收益聚合產品的脆弱性——尤其是那些處理代幣化質押衍生品的產品，這些衍生品已成為以太坊合併後經濟的核心。

目前，Yearn 用戶只能等待該協議的完整事後分析報告。 但傳遞的信息已經很明確：在 defi 領域，即使是最經受實戰考驗的協議，其安全性也僅取決於其最具實驗性的產品。