Yearn Finance爆重大安全漏洞：黑客无限铸造yETH卷走300万美元ETH

yETH 资金池遭耗尽

根据区块链数据显示，骇客利用精心设计的漏洞，成功铸造近乎无限量的 yETH 代币，并在单一笔交易中将整个 yETH 资金池耗尽，同时将 1,000 ETH（约合 300 万美元）转入混币协议 Tornado Cash，用以掩盖资金流向。事件疑似涉及多个新部署的智能合约，其中部分合约在攻击完成后立即自我销毁。目前整体损失尚待确认，但根据链上资讯，事发前 yETH 资金池的总价值约为 1,100 万美元。

社群率先示警，Yearn 表示 Vault 未受影响

此次攻击最早由 X 用户 Togbe 发现。

他表示，在监控巨大转帐时注意到异常行为，研判骇客借由「超额铸造」漏洞成功抽干资金池。他指出：「攻击者似乎虽然牺牲部分 ETH，但仍成功套利取得约 1,000 ETH。」Yearn Finance 随后于 X 发布公告，证实正在调查本次事件，并强调：

「Yearn Vaults（V2、V3）并未受到影响。」

Yearn 过往亦曾出现安全事故

Yearn Finance 近年来曾多次遭遇安全风险。例如 2021 年 yDAI 金库遭攻击，损失 1,100 万美元，骇客获利 280 万美元。而 2023 年 12 月，该专案也曾因错误脚本失误导致资产缩水 63%，所幸未影响使用者资金。

参考来源