Yearn Finance 在11月30日確認了一個針對其 yETH 產品的活躍漏洞, 攻擊者鑄造了實際上無限供應的代幣,並從 Balancer 池中抽乾了流動性。 事件導致約280萬美元資產被盜。 約一千 ETH 在攻擊後不久被洗錢到 Tornado Cash,而**YFI** 代幣價格意外地從接近4080美元上升到超過4160美元, 即使市場上有負面消息傳出。
發生了什麼:無限鑄造攻擊
根據區塊鏈數據,攻擊事件發生在11月30日大約9:11 p.m. UTC, 當時一個惡意錢包執行了一個無限鑄造攻擊,在單一交易中創造了約235兆的yETH。
Nansen 的警報系統確認了該攻擊。
漏洞存在於yETH代幣合約本身,而不是Yearn的Vault基礎設施, 攻擊者使用新鑄造的代幣抽乾了真實資產——主要是ETH和流動質押代幣—— 從Balancer流動性池中抽走。
初步估計大約有280萬美元的資產被移除。 幾個在攻擊中使用的輔助合約在事件發生前幾分鐘被部署並在之後自毀以掩蓋痕跡, 而在攻擊後不久,約1,000 ETH被透過Tornado Cash洗錢。
Yearn表示,V2和V3金庫不受影響,漏洞似乎僅限於舊有的yETH實現。
另請閱讀: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
為什麼重要:市場影響
市場反應出乎意料。 在漏洞於社交媒體和區塊鏈分析員中曝光後不久, YFI的價格從接近4080美元上升到超過4160美元, 儘管圍繞整個Yearn生態系的負面標題。
價格飆升似乎與事件初期市場誤解有關, 當時「Yearn漏洞」的初始聲明誘發高槓桿的YFI空頭, 鑑於此代幣的流動性稀薄且在黑客事件中歷來有積極的下跌走勢。
當攻擊被確認僅限於yETH而非Yearn的金庫時, 空頭開始補回他們的頭寸,這引發了一次短暫的逼空及由波動性驅動的價格飆升。 YFI的流通供應量只有33,984個代幣,使其成為流動性極差的主要DeFi治理資產之一, 在不確定或快速清算流動期間,這尤其放大價格波動。
暫時看來,損失似乎被控制在受到此漏洞影響的yETH和Balancer池, 而協議的總鎖定價值仍高於6億美元,這表明核心系統未受損。 調查仍在進行中。
接下來閱讀: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections