币搜网报道:
Yearn Finance 报告称,yETH 的一款旧产品遭到攻击,攻击者利用漏洞铸造了大量假代币,并将其兑换成真实资产。
根据链上警报和协议声明,攻击者在一笔交易中创建了近乎无限量的 yETH,然后使用这些代币从流动性池中提取 ETH 和流动性质押衍生品。
该事件最早于 2025 年 11 月 30 日被发现,据报道总损失约为 900 万美元。
Yearn Finance遭受攻击,造成总损失约 900 万美元。
该漏洞利用涉及铸造近乎无限数量的 yETH 代币,通过一次交易耗尽代币池。
约1千(价值约300万美元)已发送至而剥削者的……
— PeckShieldAlert (@PeckShieldAlert)
漏洞利用原理
基于攻击者利用 yETH 铸造逻辑中的一个漏洞,一次性制造了约 235 万亿个代币。
这些毫无价值的代币随后被兑换成与该产品挂钩的 Balancer 和 Curve 资金池中的真实资产,在几分钟内耗尽了流动性。区块链监控人员和安全研究人员发现,此次代币铸造和随后的兑换在区块链上迅速完成。
11月30日21:11 UTC,yETH稳定币池发生意外事件,导致大量yETH被铸造。受影响的合约是基于热门稳定币代码的定制版本,与其他Yearn产品无关。Yearn V2/V3金库不受影响。
— yearn (@yearnfi)
哪些资产被没收了?
报道披露,约有 800 万美元从 yETH 稳定币兑换主池中被提取,约有 90 万美元从 yETH-WETH 池中被提取。
此外,攻击者还向 Tornado Cash 账户发送了约 1000 个 ETH(当时价值约 300 万美元),试图掩盖资金流向。攻击者将伪造的 yETH 兑换成 ETH 和流动性质押代币的混合物,然后试图洗钱。
目前加密货币总市值达 2.92 万亿美元。图表:
对Yearn核心产品的影响
据 Yearn 官方和后续报道,仅限于 yETH 产品的较旧版本,并未影响 Yearn 的主要 V2 和 V3 金库。
在团队和外部专家展开调查期间,受影响资金池中的存款已被隔离。据称,这种隔离措施使得活跃金库中的大部分用户资金免遭损失。
市场反应及更广泛的担忧
消息传开后,加密货币市场面临抛售压力,交易员们正在权衡将流动性质押代币与自定义兑换代码相结合所带来的风险。
该公司表示,正在与外部安全团队合作进行事后分析并修复漏洞。据报道,参与调查的团队包括外部审计师和区块链调查员,他们正在追踪被盗资金并就追回方案提供建议。
该协议的通知警告用户有关受影响的旧版产品,并敦促用户在审查进行期间保持谨慎。
题图来自 Unsplash,图表来自 TradingView
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
