在Web3金融快速发展的浪潮中,安全漏洞如同悬在去中心化协议头顶的达摩克利斯之剑。近日,DeFi巨头Yearn Finance旗下的yETH产品遭遇铸造漏洞攻击,再次拉响了Web3世界的安全警报。攻击者利用精心设计的漏洞,成功铸造了无限量的yETH代币,从而在单笔交易中抽干了资金池,获利约1,000枚ETH(按当前价格计算价值约300万美元)。部分被盗资金已被转入混币协议Tornado Cash,给追溯带来了巨大挑战。这起正在发展中的新闻,不仅暴露了复杂DeFi协议的潜在脆弱性,更深刻提醒所有Web3参与者,安全防护与代码审计的极端重要性。
一、Yearn yETH遭遇“无限铸造”漏洞攻击,300万美元ETH被盗
收益耕作协议Yearn Finance旗下的yETH产品遭遇铸造漏洞攻击,攻击者似乎利用漏洞铸造了接近无限量的yETH,从而在单笔交易中抽干池子并获利约1,000枚ETH(约300万美元)。
攻击手法: 区块链数据显示,yETH资金池显然是通过精心设计的漏洞利用程序被清空的,该程序通过一次交易铸造了近乎无限数量的yETH代币,从而清空了资金池。
被盗资产与转移: 此次攻击导致1,000枚ETH(按当前价格计算价值约300万美元)被发送到混币协议Tornado Cash。混币协议的使用,使得资金追溯变得异常困难。
攻击复杂性: 区块链数据显示,此次攻击似乎涉及多个新部署的智能合约,其中一些在交易完成后自行销毁,进一步增加了调查的难度。
潜在损失: 目前尚不清楚损失总额,但攻击前yETH资金池的价值约为1100万美元。
二、Yearn Finance的紧急响应:调查进行中,V2与V3 Vaults未受影响
Yearn Finance团队在事件发生后迅速作出响应,并向社区通报了最新情况。
官方通报: Yearn在X上写道:“我们正在调查一起涉及yETH LST稳定币池的事件。Yearn Vaults(包括V2和V3)不受影响。”
Togbe的发现: 此次黑客攻击最先由X用户Togbe发现。Togbe在监控大额转账时注意到了这起明显的攻击。“净转账数据显示,yETH超级铸币让攻击者榨干了资金池,从中获利约1000 ETH,”Togbe在一条消息中写道。“虽然还有其他ETH被牺牲,但他们仍然获利了结。”
三、yETH:流动性质押代币聚合器与潜在风险
Yearn Ether (yETH) 是Yearn Finance旗下的产品,旨在将流行的LST(流动性质押代币)聚合为一个代币。
功能: yETH将流行的LST聚合为一个代币,使用户能够通过单一入口获得多种LST的收益。
潜在风险: 聚合多种LST的复杂机制,可能在智能合约层面引入更多潜在漏洞,增加了被攻击的风险。
四、Yearn Finance的“黑历史”:屡次遭遇攻击
这并非Yearn Finance首次遭遇安全事件。
2021年攻击: 2021年,Yearn Finance遭遇网络攻击,其yDAI金库损失1100万美元,黑客窃取了280万美元。
2023年故障脚本: 2023年12月,该协议表示,一个故障脚本导致其一个金库头寸损失了63%,但用户资金未受影响。
创始人离去: Yearn的创始人Andre Cronje于2020年创立了该项目,并在两年后离开了项目。
五、Web3安全警钟再敲响:复杂协议的潜在脆弱性
Yearn Finance yETH遭遇铸造漏洞攻击事件,再次为Web3领域的安全敲响了警钟。
智能合约复杂性: 复杂的DeFi协议,尤其是聚合多种代币和衍生品的协议,其智能合约代码可能存在难以发现的漏洞。
审计与测试的挑战: 即使经过多次审计和测试,也难以完全排除所有潜在漏洞,尤其是在系统交互和极端情况下的表现。
混币协议的威胁: Tornado Cash等混币协议的使用,使得被盗资金的追溯和冻结变得异常困难,增加了打击加密犯罪的难度。
结语:
Yearn Finance yETH遭遇铸造漏洞攻击,导致300万美元ETH被盗并转入Tornado Cash,是Web3领域近期发生的一起重大安全事件。这不仅再次凸显了复杂DeFi协议的潜在脆弱性,更深刻提醒所有Web3参与者,安全防护与代码审计的极端重要性。在Web3金融快速发展的浪潮中,如何在创新与安全之间找到平衡,将是所有项目方必须面对的严峻挑战。
相关推荐:Telegram创始人杜罗夫宣布:Cocoon去中心化AI网络已正式上线
原文: 《 DeFi巨头Yearn Finance遭铸造漏洞攻击,yETH被盗300万美元 》
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
