Yearn Finance 漏洞:您需要知道的資訊
2025-12-01
一個重大的漏洞震驚了DeFi 生態系統
由於 Yearn Finance 的傳統 yETH 產品遭受了無限增發攻擊,攻擊者能夠創造出數兆個代幣,並從 Balancer 流動性池中抽走資金。
隨著社群詢問這對協議及其治理代幣 YFI 的意義,了解這次 Yearn Finance 近乎漏洞的詳細資訊至關重要。本文將說明您需要知道的所有內容——從駭客攻擊是如何發生的到最新的市場反應。
無限鑄造 Yearn Finance 利用事件如何發生的
在2025年11月30日,約於21:11 UTC,一個惡意錢包對舊版的yETH合約執行了無限鑄造的攻擊。攻擊者在一次交易中鑄造了約235萬億的yETH,繞過了預定的供應規則。
根據區塊鏈分析師和如 Nansen 等警報系統,這個漏洞與 yETH 代幣合約具體相關,而不是 Yearn 的核心 V2 或 V3 Vault 基礎設施。攻擊者隨後部署了幾個輔助合約——就在利用之前的幾分鐘——並在隨後立即自毀,這使得鏈上追蹤變得更加困難。
這個漏洞使攻擊者能夠通過從Balancer池中抽取流動性,將新鑄造的yETH轉換為真實的資產。初步報告估計約有價值280萬美元的ETH和流動質押代幣(LSTs)被盜取。
鏈上活動:洗錢和資金流動
隨著漏洞的利用,區塊鏈追蹤器識別了一系列涉及被盜資產的高價值轉移。特別是:
約有1,000 ETH透過Tornado Cash進行轉移,這是一個常用的隱私混合器,用於隱藏資金流動。
在此次行動中使用了幾份輔助合約,並迅速自我銷毀。
攻擊者執行了多次100ETH轉移資金,將資金分散到不同的鏈和地址上。
儘管攻擊的規模相當龐大,Yearn Finance 確認 V2 和 V3 Vaults 未受到影響,將漏洞隔離在一個不再對協議運營具有核心重要性的舊產品上。
Yearn 的總鎖定價值(TVL)保持在 6 億美元以上,這表明核心基礎設施依然完整且安全。
以太坊 (ETH) 價格預測 2025-2027:ETH 的糟糕表現能否得到改善?
YFI 價格反應:從恐慌到逼空
來源:Coingecko
出乎意料的是,這次漏洞引發了 YFI 價格的意外激增。在分析師和社交媒體帳號報告這次黑客攻擊後不久,YFI 的價格在一小時內從 $4,080 急劇上升至超過 $4,160。
這個反直覺的激增是由於:
早期的恐慌導致交易者開設激進的空頭頭寸
對這個漏洞的誤解被視為整個協議的失敗
一旦清楚黑客攻擊僅影響 yETH,而不是 Yearn Vaults,便迅速出現了短期回補。
考慮到 YFI 的流通供應量僅為 33,984 顆代幣,市場 notoriously 薄弱。即使是輕微的交易活動也可以導致大幅波動。波動性在不確定的時刻,波動尤其明顯。
衍生品平台也錄得高資金波動,顯示在漏洞發生後立即出現激烈的短期投機。
這個漏洞對 Yearn Finance 和 DeFi 安全的意味是什麼
這起事件突顯了去中心化金融中幾個持續存在的關注點:
遺留合約仍然是薄弱環節
該漏洞是在一份舊版合約(yETH)中發現的,而不是在活躍的 Yearn Vaults 中。這顯示了如果不逐步淘汰或修補,過時的合約可能會帶來系統性風險。
流動性池是有吸引力的目標
Balancer 池為攻擊者提供了即時的退出流動性,使其能迅速抽取資產。這延續了一個趨勢,即自動化做市商(AMMs)成為漏洞攻擊中的第一個受影響點。
混合器的使用顯示出洗錢戰術的持續性
攻擊者使用 Tornado Cash 顯示,即使在監管壓力下,混合器仍然深度整合於利用洗錢策略中。
請參閱:以太坊(ETH)價格預測 2025 年 11 月:牛市能否重拾動力?
結論
Yearn Finance 針對 yETH 產品的攻擊標誌著近期 DeFi 歷史上最大的一次無限鑄造攻擊之一。儘管大約有 280 萬美元的資金被竊取,但重要的是要注意 Yearn 的核心 V2 和 V3 Vaults 仍然安全且未受影響。
事件引發了整個生態系統的波動,最顯著的是由於平倉而造成的YFI短期上漲。隨著調查持續進行,社區期待官方的事件後報告以及可能的治理決策來應對恢復措施。這次漏洞事件再次提醒我們持續進行合約審計、淘汰舊系統及在去中心化金融(DeFi)中採取強健安全措施的重要性。
欲了解更深入的加密貨幣市場更新和預測,請查看最新的文章在Bitrue 部落格— 或探索直接在 Bitrue 上交易平台。
常見問題解答
Yearn Finance 是否完全被黑客攻擊了?
不,只有舊版的 yETH 產品受到影響。
被偷了多少錢?
大約有 280 萬美元從 Balancer 池中被抽走。
Yearn V2 或 V3 的 Vault 是否受到影響?
不,Yearn 確認這些金庫沒有受到影響。
為什麼 YFI 的價格在黑客攻擊後上漲?
在交易者將漏洞誤解為整個協議範圍後,發生了短縮擠壓。
攻擊者可以被識別嗎?
目前沒有;資金是通過Tornado Cash 洗錢的。
免責聲明:本文內容不構成財務或投資建議。
