去中心化收益協議 Yearn Finance 再度爆出安全事件,其流動質押代幣(LST)聚合產品 Yearn Ether(yETH) 於今日遭到攻擊,資產池疑似被「無限鑄造」手法抽乾,損失金額可能高達數百萬美元。
yETH 資金池遭耗盡
根據區塊鏈數據顯示,駭客利用精心設計的漏洞,成功鑄造近乎無限量的 yETH 代幣,並在單一筆交易中將整個 yETH 資金池耗盡,同時將 1,000 ETH(約合 300 萬美元)轉入混幣協議 Tornado Cash,用以掩蓋資金流向。事件疑似涉及多個新部署的智能合約,其中部分合約在攻擊完成後立即自我銷毀。目前整體損失尚待確認,但根據鏈上資訊,事發前 yETH 資金池的總價值約為 1,100 萬美元。
社群率先示警,Yearn 表示 Vault 未受影響
此次攻擊最早由 X 用戶 Togbe 發現。
他表示,在監控巨大轉帳時注意到異常行為,研判駭客藉由「超額鑄造」漏洞成功抽乾資金池。他指出:「攻擊者似乎雖然犧牲部分 ETH,但仍成功套利取得約 1,000 ETH。」Yearn Finance 隨後於 X 發布公告,證實正在調查本次事件,並強調:
「Yearn Vaults(V2、V3)並未受到影響。」
Yearn 過往亦曾出現安全事故
Yearn Finance 近年來曾多次遭遇安全風險。例如 2021 年 yDAI 金庫遭攻擊,損失 1,100 萬美元,駭客獲利 280 萬美元。而 2023 年 12 月,該專案也曾因錯誤腳本失誤導致資產縮水 63%,所幸未影響使用者資金。
