Yearn Finance因yETH金库单笔交易漏洞损失900万美元

Yearn Finance遭遇重大安全漏洞

Yearn Finance遭遇重大安全漏洞，导致约900万美元损失。此次攻击针对该协议yETH代币关联的遗留稳定币兑换池，使得黑客能够无限增发代币。

yETH合约漏洞分析

区块链安全公司Peckshield率先通过社交媒体披露该事件，指出“Yearn Finance遭受攻击导致总计约900万美元损失”。分析师表示，攻击者利用yETH代币合约中的关键漏洞，在未提供足额抵押的情况下无限增发yETH，实质上实现了代币供应的随意膨胀。这一漏洞随后被用于抽空Yearn核心金库产品之外某个流动性池的资金。

被攻击目标是一个专门用于聚合质押以太坊衍生品（如stETH和rETH）的定制合约。该协议后续声明yUSND资金池与Nerite金库仍保持安全，未受本次协议故障影响。攻击发生后，相关人员通过隐私交易工具转移了逾300万美元被盗ETH。根据最新区块链扫描数据，剩余价值600万美元的各类质押以太坊资产仍存于攻击者钱包地址内。

Yearn官方在社交媒体确认了此次安全事件，披露Curve上的yETH-WETH稳定币兑换池损失90万美元，受影响资金池另有800万美元被提取。项目方建议受影响用户通过官方社群渠道提交支持工单。

初步调查进展

该平台宣布已组建由SEAL911及其审计合作伙伴Chain Security参与的应急小组，正在开展全面事后调查。初步调查显示，本次事件与近期Balancer攻击事件的技术复杂程度相近。Balancer漏洞曾导致其主协议及多个分叉项目被盗逾1.2亿美元。

链上分析师溯源发现，Balancer事件源于可组合稳定池中定点运算的精度缺失漏洞，该功能专为类似USDC/USDT或WETH/stETH等近似等价资产对设计。安全机构后续指出，该缺陷导致交易过程中出现微小但持续的价格差异，尤其在攻击者通过批量交换功能单笔交易执行多次操作时更为明显。

值得注意的是，Yearn事件发生前不久，韩国交易所Upbit刚遭遇5000万美元以太坊被盗的安全事故。