Yearn Finance遭遇900萬美元資金洩露，攻擊者創建了無限量的yETH代幣

Yearn Finance 報告稱，yETH 的一款舊產品遭到攻擊，攻擊者利用漏洞鑄造了大量假代幣，並將其兌換成真實資產。

根據鏈上警報和協議聲明，攻擊者在一筆交易中創建了近乎無限量的 yeth，然後使用這些代幣從流動性池中提取 ETH 和流動性質押衍生品。

該事件最早於 2025 年 11 月 30 日被發現，據報導總損失約為 900 萬美元。

#PEckShield警報Yearn Finance@yearnfi遭受攻擊，造成總損失約 900 萬美元。

該漏洞利用涉及鑄造近乎無限數量的 yETH 代幣，通過一次交易耗盡代幣池。

約1千以太坊（價值約300萬美元）已發送至#龍捲風現金而剝削者的……pic.twitter.com/IXNygpwoWa

— PeckShieldAlert (@PeckShieldAlert)2025年12月1日

漏洞利用原理

基於報告攻擊者利用 yETH 鑄造邏輯中的一個漏洞，一次性製造了約 235 萬億個代幣。

這些毫無價值的代幣隨後被兌換成與該產品掛鉤的 Balancer 和 Curve 資金池中的真實資產，在幾分鐘內耗盡了流動性。 區塊鏈監控人員和安全研究人員發現，此次代幣鑄造和隨後的兌換在區塊鏈上迅速完成。

11月30日21:11 UTC，yETH穩定幣池發生意外事件，導致大量yETH被鑄造。 受影響的合約是基於熱門穩定幣代碼的定製版本，與其他Yearn產品無關。 Yearn V2/V3金庫不受影響。

— yeARn (@yearnfi)2025年12月1日

哪些資產被沒收了？

報導披露，約有 800 萬美元從 yETH 穩定幣兌換主池中被提取，約有 90 萬美元從 yETH-WETH 池中被提取。

此外，攻擊者還向 Tornado Cash 賬戶發送了約 1000 個 ETH（當時價值約 300 萬美元），試圖掩蓋資金流向。 攻擊者將偽造的 yETH 兌換成 ETH 和流動性質押代幣的混合物，然後試圖洗錢。

對Yearn核心產品的影響

據 Yearn 官方和後續報導，違規行為僅限於 yETH 產品的較舊版本，並未影響 Yearn 的主要 V2 和 V3 金庫。

在團隊和外部專家展開調查期間，受影響資金池中的存款已被隔離。 據稱，這種隔離措施使得活躍金庫中的大部分用戶資金免遭損失。

市場反應及更廣泛的擔憂

消息傳開後，加密貨幣市場面臨拋售壓力，交易員們正在權衡將流動性質押代幣與自定義兌換代碼相結合所帶來的風險。

Yearn Finance該公司表示，正在與外部安全團隊合作進行事後分析並修復漏洞。 據報導，參與調查的團隊包括外部審計師和區塊鏈調查員，他們正在追踪被盜資金並就追回方案提供建議。

該協議的通知警告用戶有關受影響的舊版產品，並敦促用戶在審查進行期間保持謹慎。

題圖來自 Unsplash，圖表來自 TradingVieW