币搜网报道: 故事亮点
-
黑客无限铸造 yETH 代币并抽干流动性池后,Yearn Finance 损失近 900 万美元。
-
超过 300 万美元的被盗 ETH 通过 Tornado Cash 转移,成功隐藏了黑客的交易痕迹。
-
黑客钱包中仍持有约 600 万美元的混合资产,其中包括各种质押的以太坊衍生品。
知名 DeFi 平台Yearn Finance遭遇重大安全事件,造成近 900 万美元损失。此次攻击的目标是 Yearn 与其 yETH 代币关联的自定义稳定币兑换池,黑客得以一次性铸造几乎无限量的代币,并清空了该兑换池。
以下是关键细节。
袭击是如何发生的
根据该问题发生在 11 月 30 日 21:11 UTC 左右。受影响的合约设计与 Yearn 的主要产品不同,但该代码中的一个漏洞使得攻击者能够铸造近乎无限数量的 yETH 代币,远远超出系统应该允许的数量。
他们利用这些假代币,从资金池中提取了真正的 ETH 和流动性质押资产。
主稳定币池损失了约 800 万美元,Curve 平台上的 yETH-WETH 池也损失了 90 万美元。损失总额接近 900 万美元。
通过龙卷风洗钱的300万美元
区块链安全公司 PeckShieldAlert 证实,攻击者迅速将约 1000 个以太币(价值 300 万美元)转移到 Tornado Cash 平台,该平台常被用于隐藏交易痕迹。剩余的被盗资金,约 600 万美元,仍存放在攻击者的钱包地址 (0xa80d…c822) 中。
Yearn Finance 遭受攻击,造成总损失约 900 万美元。
该漏洞利用涉及铸造近乎无限数量的 yETH 代币,通过一次交易耗尽代币池。
约1千(价值约300万美元)已发送至而剥削者的……
— PeckShieldAlert (@PeckShieldAlert)
该钱包目前持有多种ETH,包括pxETH、frxETH、cbETH、Lido stETH和Rocket Pool rETH。其中大部分已被质押,这可能是为了拖延追回或使潜在的法律诉讼复杂化。
Yearn Finance的回应
Yearn Finance团队并确认该漏洞仅限于旧版 yETH 产品,并向用户保证活跃金库及其资金仍然安全。
他们一直在与安全团队和审计人员合作,对该事件进行深入调查。截至目前,尚未公布任何恢复计划。
袭击事件发生后,市场反应导致 Yearn 的治理代币 (YFI) 在事件发生后下跌了约 4.4%。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
