loading...
区块链网络安全公司 Blockaid 于 2026 年 6 月 24 日发现,去中心化金融(DeFi)收益聚合平台 Yield Yak 的网站遭遇了前端黑客攻击。据 Blockaid 透露,Yield Yak 网站的前端已被恶意钱包盗刷脚本入侵。这是几天内第二次针对主流加密货币交易平台发生此类性质的攻击,也是近期针对大型加密平台的前端攻击趋势中的最新一起。
根据 Blockaid 的检测流程,子域名 vote.yieldyak.com 被植入了名为“Eleven drainer”的恶意代码。钱包盗刷器是一种恶意脚本,它通过用户认可的交易诱骗用户将数字资产发送给攻击者。当用户连接钱包的那一刻,恶意代码就会强制批准操作或将资产发送给攻击者,而用户往往在意识到发生了什么之前就已经中招。截至发布时,Blockaid 和 Yield Yak 均未提供本次攻击造成的具体损失金额。
Yield Yak 遭受的攻击与几天前开源融资平台 Gitcoin 发现的漏洞如出一辙。据 Blockaid 在 6 月 21 日的通报,Gitcoin 的子域名 files.gitcoin.co 同样被植入了 Eleven drainer 代码,并警告人们在该平台接受检查前不要与之交互。Blockaid 直接将两起攻击联系起来,指出 Yield Yak 的攻击“紧随昨日 Gitcoin 的事件,且运作方式相似”。
在两起事件中,被入侵的都是子域名,而非核心应用接口。Yield Yak 的核心产品——运行在 Avalanche 网络上的自动复利收益农耕协议——位于主域名之下。被入侵的投票子域名看似一个次要入口,但任何访问该子域名的人都有可能面临钱包被清空的风险。
损失数额不明并不意味着后果轻微。前端漏洞通常需要经过数小时甚至数天的调查,安全团队会检查钱包之间的交互情况,并确认用户是否执行了恶意交易。在今年发生的其他盗刷事件中,损失金额从几千美元到数百万美元不等,具体取决于在恶意代码被删除前连接钱包的用户数量。例如,在 Blockaid 监测的一起事件中,黑客于 5 月利用第三方模块漏洞,从 86 个 Safe 钱包中窃取了约 320 万美元。另一个例子是流动性提供者 TrustedVolumes 遭到利用,导致损失 590 万美元。
上述 Yield Yak 和 Gitcoin 遭受的攻击,是今年困扰加密货币社区的一个更大趋势的组成部分。前端攻击(攻击者利用项目网站漏洞而不影响智能合约)在各大 DeFi 平台上发生频率显著上升。今年早些时候,OpenEden、Curvance 和 Maple Finance 在 2 月的一周内均遭遇了前端攻击。这些攻击使用了名为 AngelFerno 的不同盗刷工具包,但采用了相同的手法:获取项目网页基础设施的访问权限,插入劫持钱包连接的代码,然后等待用户交互。
Blockaid 在 2026 年 4 月记录了一种更加激进的模式。在 Drift Protocol、KelpDAO 等平台遭遇重大漏洞后,盗刷操作者在数小时内迅速搭建起外观相似的域名,以拦截那些正在慌乱寻找撤销代币授权方式的用户。该公司称 2026 年 4 月是“有记录以来加密货币盗窃最严重的月份”,指出在 20 多起事件中,共计被盗金额超过 6.29 亿美元。
根据 Alchemy 上的信息,Yield Yak 是 Avalanche 上的一个 DeFi 协议,自动复利收益农耕奖励并运营去中心化交易所聚合器。通过主平台智能合约存入资产的用户不会直接受到前端入侵的影响,因为底层合约保持不变。风险适用于所有访问了被入侵子域名并连接钱包或签署交易的用户。截至本文发布,Yield Yak 和 Gitcoin 均未就各自事件的修复进展发布公开声明。没有安全公司或区块链调查员公开报告与 Yield Yak 攻击相关的确认损失,目前也没有链上证据表明潜在盗窃的规模。Blockaid 建议用户在问题调查和修复期间不要与受影响的网站进行交互。
怀疑自己曾与 vote.yieldyak.com 交互的用户,应使用可信工具撤销该会话期间授予的所有代币授权,并监控自己的钱包以防出现未经授权的转账。
161
597
631
719
544
540
543
192
893
916
