Yearn Finance 于 11 月 30 日确认其 yETH 产品正遭受主动攻击:攻击者通过铸造几乎无限量的代币,从 Balancer 资金池中抽干了流动性。此次事件导致约 280 万美元资产被盗。攻击发生后不久,约 1,000 枚 ETH 被通过 Tornado Cash 清洗,而 YFI 代币价格却在一小时内从约 4,080 美元意外上涨至 4,160 美元以上,尽管同时伴随负面消息。
事件经过:无限铸造攻击
根据区块链数据,攻击在 11 月 30 日协调世界时 21:11 左右发生,一只恶意钱包执行了无限铸造攻击,在一笔交易中铸造了约 235 万亿枚 yETH。
Nansen 的预警系统确认了本次攻击。
漏洞存在于 yETH 代币合约本身,而非 Yearn 的金库(Vault)基础设施。攻击者利用新铸造的代币,从 Balancer 流动性资金池中抽走了真实资产——主要是 ETH 和流动性质押代币(Liquid Staking Tokens)。
初步估算约有 280 万美元的资产被转出。攻击中使用的若干辅助合约在事件发生前几分钟被部署,并在事后自毁以掩盖踪迹,而约 1,000 枚 ETH 在攻击后不久被通过 Tornado Cash 洗钱。
Yearn 表示 V2 和 V3 Vault 未受影响,此次漏洞似乎仅限于旧版 yETH 实现。
另阅: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
为何重要:市场影响
市场反应出乎意料。攻击在社交媒体和区块链分析人士处被标记后不久,YFI 价格却在一小时内从约 4,080 美元上涨至 4,160 美元以上,尽管 Yearn 生态整体正被负面新闻包围。
这次价格飙升似乎与事件初期的市场误读有关。当最初出现“Yearn 被攻击”的说法时,由于 YFI 流动性稀薄且在历次黑客事件中曾出现过激烈下跌,许多交易者在 YFI 上建立了高杠杆空头头寸。
随着事实逐渐澄清——攻击仅限于 yETH,而非 Yearn 的 Vault——空头开始回补仓位。这引发了短暂的空头挤压和由波动性驱动的价格拉升。YFI 的流通供应量仅有 33,984 枚,是主要 DeFi 治理代币中流动性最差的资产之一,这在不确定或快速清算时期会放大价格波动。
目前来看,损失似乎仍局限于遭受攻击的 yETH 与相关 Balancer 资金池,而协议的总锁仓量(TVL)仍保持在 6 亿美元以上,表明核心系统未被攻破。相关调查仍在继续。
下篇阅读: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections