优惠论坛

标题: Yearn Finance遭遇重大yETH漏洞攻击,数百万LST代币被盗(转) [打印本页]
作者: 小钱儿    时间: 2025-12-1 13:06
标题: Yearn Finance遭遇重大yETH漏洞攻击,数百万LST代币被盗(转)
超级薄荷糖漏洞清空了池子/ i% ^6 ?+ u. Q. _5 p
根据区块链追踪记录,攻击者通过新部署的智能合约执行了一系列交易,其中一项交易生成了“几乎无限量”的 yETH。在人为制造的代币供应到位后,攻击者迅速从资金池中提取资产,瞬间耗尽了资金池的流动性。
) b/ X2 F+ \" |: p5 z3 A) X! c0 W7 l! q2 D$ X% L2 _
大约 1000 个 ETH(按当前价格计算价值约 300 万美元)迅速流入了隐私混合器 Tornado Cash。损失的全部规模尚不清楚,但yETH池袭击发生前,他拥有约 1100 万美元的资产。
3 F- j; e; ]9 I$ r( s: ]- O8 Z
+ M' ~4 ^6 A1 `1 {, s+ W' M独立调查员兼 X 用户 Togbe 最先发现了这一异常情况,他表示,这些动作类似于触发了超级薄荷糖功能。  I/ F, f* A' ?0 t+ Q$ |
; u" ]8 S- M5 D7 Z4 u, [9 z! U2 x
Togbe告诉媒体:“净转账数据显示,yETH超级铸币让攻击者榨干了资金池,获利约1000个ETH。虽然其他ETH也在此次事件中被牺牲,但他们仍然获利了结。”! S( N, W8 x" }2 ^8 l+ q  u$ ~
: C: l2 X* F- P) k! [; S- j& x
Yearn Finance做出回应* b- K  @, ~5 L/ y/ T; n) e
Yearn Finance在警报响起后不久便承认了这起事件,并在X上发布了声明:9 Y* z1 x* X1 P" A7 v! V

- A' k- e% Q6 a: M1 x% u“我们正在调查一起涉及 yETH LST 稳定币池的事件。Yearn Vaults(包括 V2 和 V3)不受影响。”; w! q8 o; i: K# u0 h7 ]
$ ?. h: u  k" S7 o) u- u
这种区别对用户至关重要。Yearn 的金库——管理着规模更大的生态系统资产池——似乎并未受到影响。相反,攻击者专门针对的是围绕较新的 yETH 产品构建的智能合约基础设施。6 o& A% m) O1 S4 C

# n* v8 K( N2 F- L5 o7 N6 D2 q尽管如此,此次安全漏洞仍是 Yearn 自 2021 年以来最严重的安全事件之一,在 DeFi 市场流动性仍然不足的情况下,再次引发了人们对复杂收益策略安全性的关注。
" c0 ^2 P) s9 H9 J+ V& ^( C. g& m5 [3 J; D+ I7 A0 h% t/ i; |0 @2 _
另请阅读:收益耕作现在还有利润吗?
: f" S0 {, H$ G* s4 x
- I* U" Q/ U5 w: z协议压力史
8 c' o8 j/ Z  i% w+ `这并非Yearn Finance首次遭遇重大安全漏洞攻击。2021年2月,其yDAI金库遭到攻击,损失高达约1100万美元,黑客窃取了近300万美元。
8 z% f6 {1 g$ a, \0 B2 c+ s% _% W) W( O2 Y) c
2023年12月,该协议披露,一个故障脚本导致其一个金库头寸损失了63%。虽然该事件并未影响用户资金,但引发了人们对Yearn内部运营保障措施的担忧。4 Q8 R) y! K' V; ~" @

, B  z) U/ g, ?( y! tYearn早期的成功与其备受瞩目的创始人Andre Cronje密切相关,他于2020年推出了该平台。已离开该项目于 2022 年启动。自那时起,这个由社区运营的协议不断推出新的收益产品和集成,包括命运多舛的 yETH 池。
: ^& B( t$ c5 u  N
/ B7 ~- Z0 J- O5 A+ T接下来会发生什么?
) t  K  f1 b# N; f7 Z2 {7 q由于数百万美元的 LST 资金丢失,并且攻击者的踪迹被 Tornado Cash 部分掩盖,调查人员正在争分夺秒地拼凑出此次攻击是如何进行的,以及是否有任何资金能够真正追回。
: \: a/ _: H4 ?* {/ H# h: a+ _) k" T; @9 }! ~* u0 ]
安全研究人员表示,此次攻击的架构表明攻击者对 Yearn 的合约系统有着深入的了解,这增加了攻击可能存在复杂漏洞或经济设计缺陷的可能性,而不是传统的重入攻击或预言机操纵攻击。
; \0 f5 @- |4 S' l  Z0 ?* t# A' ~, Z9 f) R+ i1 m4 c2 i
在 Yearn 努力控制事态发展的同时,更广泛的 DeFi 社区再次面临复杂收益聚合产品的脆弱性——尤其是那些处理代币化质押衍生品的产品,这些衍生品已成为以太坊合并后经济的核心。
) U# I  N# [: H
( g; k4 w" n% g* j$ C, o" Q目前,Yearn 用户只能等待该协议的完整事后分析报告。但传递的信息已经很明确:在 DeFi 领域,即使是最经受实战考验的协议,其安全性也仅取决于其最具实验性的产品。
; W+ {. n% X- H2 D% t
% R, q  d- c, n, B
作者: rainwang    时间: 2025-12-1 15:10
这个不是在说币安公司的事情吧
作者: 小作文    时间: 2025-12-1 18:11
这波黑得比赌场出千还狠,300万刀说没就没,
作者: jackcool1011    时间: 2025-12-1 18:53
虚拟市场漏洞多啊,很多人都在撸的
作者: 22301    时间: 2025-12-1 20:08
这个被盗的也是很多的啦。
作者: g9527    时间: 2025-12-1 21:38
Yearn这漏洞也太狠了,直接给池子掏空了,看来DeFi的安全审计还得再上点心啊
作者: 右耳    时间: 2025-12-1 23:43
这波超级薄荷糖玩得真狠,流动性直接清零,看这手法就是老手了



欢迎光临 优惠论坛 (https://www.tcelue.cc/) Powered by Discuz! X3.1