Table of Contents
攻擊如何發生?Yearn 遭無限鑄幣攻擊,損失 900 萬美元
鏈上監控者 Togbe 指出,他先觀察到 yETH 相關地址接連出現大量可疑操作,包括臨時合約部署、奇怪的兌換路徑,以及與 Tornado Cash 的大量互動。隨後釐清了這起攻擊的核心,在於 yETH 所使用的客製化穩定兌換 (stableswap) 合約。
他指出,yETH 本身是 Yearn 為整合多種 LST 而設計的指數型資產,而攻擊者找出了該合約邏輯中的漏洞,使其能鑄造出近乎無限量的 yETH。這些代幣隨後被兌換成池子裡的真實資產,包括 ETH 與其他 LST,使得整個池子在單筆交易中被掏空。
據悉,該攻擊由多個臨時部署的智能合約共同構成。其中部分合約在完成攻擊後立即自毀,顯示攻擊路徑經過縝密推演,也提升追查難度。一開始外界僅看到約 1,000 ETH (約 300 萬美元) 被轉入 Tornado Cash,實際上整起事件的損失遠不止如此。
影響是否擴大?Yearn 強調 V2、V3 與其他產品均安全
Yearn 官方也立刻發布公告,表示主要池子損失約 800 萬美元,另有約 90 萬美元來自 Curve 上的 yETH-WETH 池,總計損失約 900 萬美元。
團隊也立刻安撫用戶,強調該事件僅與 yETH 使用的客製化穩定 (stableswap) 合約有關,並不涉及 Yearn 主要部署的 Vault 設計。換言之,V2 與 V3 Vaults 均未受波及,yCRV、Katana、Morpho 等相關產品也都維持正常運作。
不幸中的大幸是,yETH 並未被市場各大借貸協議用作抵押品,因此沒有引發連鎖清算或系統性壓力,讓影響得以控制在相對有限的範圍內。
資安團隊派盾指出,除了已被洗入 Tornado Cash 的部分資金外,攻擊者地址目前仍留有約 600 萬美元未移動,可能仍在觀察調查進展。
手法類似 Balancer 攻擊,後續調查仍在進行中
Yearn 團隊表示,這起攻擊的複雜度相當高,甚至與近期的 Balancer 事件具備某些相似特徵,包括多層合約互動、交易邏輯以及對曲線定價模型的深度理解。官方正與多位審計夥伴 ChainSecurity 展開全面調查,以盡快釋出進一步的完整報告。
(Balancer 連鎖反應?Stream Finance 爆 9300 萬美元損失、xUSD 脫鉤崩潰)
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
