Yearn Finance 遭無限鑄幣攻擊損失 900 萬美元，手法類似 Balancer 事件？

去中心化收益協議 Yearn Finance 再度發生重大資安事件，其 Yearn Ether (yETH) 流動性池在今日遭到合約攻擊，駭客利用客製化穩定兌換合約中的漏洞，成功進行「無限鑄幣」操作並抽乾整個池子，最終造成約 900 萬美元損失。Yearn 強調此事故僅限於單一自訂合約，其他 Vault 產品不受影響。

攻擊如何發生？Yearn 遭無限鑄幣攻擊，損失 900 萬美元

鏈上監控者 Togbe 指出，他先觀察到 yETH 相關地址接連出現大量可疑操作，包括臨時合約部署、奇怪的兌換路徑，以及與 Tornado Cash 的大量互動。隨後釐清了這起攻擊的核心，在於 yETH 所使用的客製化穩定兌換 (stableswap) 合約。

他指出，yETH 本身是 Yearn 為整合多種 LST 而設計的指數型資產，而攻擊者找出了該合約邏輯中的漏洞，使其能鑄造出近乎無限量的 yETH。這些代幣隨後被兌換成池子裡的真實資產，包括 ETH 與其他 LST，使得整個池子在單筆交易中被掏空。

合約被鑄造出天文數字級別的 yETH

據悉，該攻擊由多個臨時部署的智能合約共同構成。其中部分合約在完成攻擊後立即自毀，顯示攻擊路徑經過縝密推演，也提升追查難度。一開始外界僅看到約 1,000 ETH (約 300 萬美元) 被轉入 Tornado Cash，實際上整起事件的損失遠不止如此。

影響是否擴大？Yearn 強調 V2、V3 與其他產品均安全

Yearn 官方也立刻發布公告，表示主要池子損失約 800 萬美元，另有約 90 萬美元來自 Curve 上的 yETH-WETH 池，總計損失約 900 萬美元。

團隊也立刻安撫用戶，強調該事件僅與 yETH 使用的客製化穩定 (stableswap) 合約有關，並不涉及 Yearn 主要部署的 Vault 設計。換言之，V2 與 V3 Vaults 均未受波及，yCRV、Katana、Morpho 等相關產品也都維持正常運作。

不幸中的大幸是，yETH 並未被市場各大借貸協議用作抵押品，因此沒有引發連鎖清算或系統性壓力，讓影響得以控制在相對有限的範圍內。

資安團隊派盾指出，除了已被洗入 Tornado Cash 的部分資金外，攻擊者地址目前仍留有約 600 萬美元未移動，可能仍在觀察調查進展。

手法類似 Balancer 攻擊，後續調查仍在進行中

Yearn 團隊表示，這起攻擊的複雜度相當高，甚至與近期的 Balancer 事件具備某些相似特徵，包括多層合約互動、交易邏輯以及對曲線定價模型的深度理解。官方正與多位審計夥伴 ChainSecurity 展開全面調查，以盡快釋出進一步的完整報告。

(Balancer 連鎖反應？Stream Finance 爆 9300 萬美元損失、xUSD 脫鉤崩潰)

 

這篇文章 Yearn Finance 遭無限鑄幣攻擊損失 900 萬美元，手法類似 Balancer 事件？ 最早出現於 鏈新聞 ABMedia。