Yearn Finance於11月30日確認其yETH產品遭到主動漏洞攻擊,攻擊者鑄造了幾乎無限量的代幣,並從Balancer流動性池中抽走資金。事件導致約2.8百萬美元資產遭竊。攻擊後不久,大約1,000枚**ETH經Tornado Cash清洗,而YFI**代幣價格儘管有負面新聞,僅一小時內從約4,080美元意外上漲至4,160美元以上。
事件經過:無限鑄幣攻擊
根據區塊鏈資料,該漏洞發生於11月30日UTC晚上9:11左右,一個惡意錢包執行無限鑄幣攻擊,在單一交易中創造了約235兆yETH。
Nansen的預警系統確認了此次攻擊。
漏洞存在於yETH代幣合約本身,而非Yearn的Vault機制。攻擊者利用新鑄造的代幣從Balancer流動池中抽走實際資產,主要為ETH及流動質押代幣。
初步估計約有2.8百萬美元資產被移除。此次攻擊涉及的多個協助合約於事發前數分鐘內部署,並於事後自毀以隱蔽行蹤,同時約1,000 ETH於攻擊後不久被洗經Tornado Cash。
Yearn表示其V2與V3 Vault均未受影響,此漏洞僅限於舊版yETH實作。
延伸閱讀: 策略:若mNAV低於1倍,僅於最後手段時賣出比特幣
為何重要:市場影響
市場反應出現意外變化。漏洞在社群及鏈上分析師曝光後不久,YFI價格儘管Yearn生態利空消息纏身,卻於一小時內從約4,080美元攀升至4,160美元以上。
這波價格急升源於事件初期市場誤判,「Yearn遭攻擊」的說法導致YFI出現高槓桿空單,因該幣流動性有限且過往黑客事件下行波動大。
當攻擊僅限於yETH而非Yearn Vaults後,空方競相補回部位,觸發短時間軋空,並引發劇烈價格波動。YFI流通量僅33,984顆,是最不流動的大型DeFi治理代幣之一,因此在市場不確定或快速清算時,價格波動尤為劇烈。
目前損失僅限於yETH及被波及的Balancer池,協議鎖倉總額仍高於6億美元,顯示核心系統未受損,調查尚在進行中。