loading...
币圈网报道: Yearn Finance 的 yETH 遭黑客攻击,成为最新一起复杂攻击事件的受害者,这起事件震动了整个加密货币社区。本文将以简洁易懂的方式,分析此次事件造成的损失以及其重要性。
2025年11月30日,知名DeFi收益聚合平台Yearn Finance的yETH金库遭遇意外攻击。黑客发现该金库的定价和会计系统存在漏洞,并利用该漏洞入侵了系统。
攻击者并没有直接攻击智能合约,而是利用了金库计算存款、取款和代币转换价值的方法。这使得他们能够在不触发底层合约任何警报的情况下,将资金全部盗走。
随后出现的是一阵突如其来的可疑代币晃动,听起来像是危险信号。几分钟后,很明显金库已被闯入,Yearn 的监控摄像头也捕捉到了这一异常活动。来源:吴区块链
攻击者精心策划了一个犯罪团伙,在 yETH 金库中人为地制造利润。他们的行为包括:
放置操纵物基于以太坊的资产在 yETH 中。
利用被高估的资金池代币套现。
金库操作的重复性加剧了这种不平衡。
取出的钱比他们存入的钱还多。
简而言之,他们欺骗系统,让系统误以为他们的代币价格高于实际价格。然后,这些虚假代币在流动性池中与真实资产进行交易。
资金池清空后,攻击者将一部分被盗资金转移到 Tornado Cash,这是一种加密货币混合服务,经常被用来隐藏交易痕迹。
这并非一次仓促的随机攻击,而是一次精心策划的攻击,利用的是 DeFi 机制而非传统的代码漏洞。
根据 Yearn 的官方声明和链上数据,损失估计约为 900 万美元。
yETH稳定币池被清空,损失金额高达800万美元。
Curve yETH-WETH 资金池中约有 90 万美元被盗。
目前,至少有 1000 个 ETH(约合 300 万美元)通过 Tornado Cash 洗钱。
虽然早期报告显示损失规模较小,但进一步分析证实了损失范围更广。
该漏洞利用方式是通过操纵金库的股价和内部代币比例来实现的。以下是简要说明:
攻击者利用闪电贷或大规模流动性流动来操纵流动性池中代币的价格。
他们将价值虚高的代币存入了 yETH。
这些存款是金库计算出的真实利润。
攻击者利用这一计算失误,提取了比其存入的更多的真实 ETH。
重复此过程数次,直至完全排空。
在 DeFi 领域,这被称为价格或预言机操纵漏洞;然而,在这种情况下,被欺骗的是内部会计系统。
Yearn强调,这起事件是孤立事件。
以下各项未受影响:
其他 Yearn 保险库仍然安全。
核心金融智能合约未被违反。
用户钱包和外部协议均未受影响。
没有私钥或用户个人数据泄露。
此次漏洞利用凸显了复杂的 DeFi 系统即使没有直接的合约漏洞也可能存在安全隐患。它提醒整个生态系统:
智能合约安全不仅仅是代码审计
定价模型和代币交互必须持续测试。
闪电贷会放大潜在风险
用户资金DeFi 面临多种创新型攻击手段。
该事件也凸显了快速反应、透明度和社区沟通的重要性——在这些方面,Yearn Finance 迅速采取行动,最大限度地减少了损失。
这 最新加密货币黑客新闻此次事件暴露了DeFi领域未经测试的自定义代码的风险。虽然损失仅限于一个资金池,但它再次强调了加强审计和安全设计的重要性。
免责声明:本文仅供参考,不构成任何财务建议。
178
711
350
140
267
856
