Yearn Finance 遭受 yETH 漏洞攻擊，300萬美元被發送至 Tornado Cash

Yearn Finance 正在處理一起新的安全漏洞，攻擊者利用其 yETH 代幣合約，從 Balancer 池中竊取了數百萬美元的 ETH 和流動性質押資產。

事件發生在 11 月 30 日晚間（UTC +8），當時攻擊者觸發了 yETH 合約中的無限鑄幣漏洞。他們隨後在單筆交易中鑄造了超過 235 萬億個代幣，數量龐大得難以想像。 

利用這些代幣，攻擊者迅速通過 Balancer 池移除真實資產，包括 ETH 和熱門質押衍生品。初步追蹤顯示，攻擊後不久有近 300 萬美元通過 Tornado Cash 流出，而攻擊者的地址仍持有與此事件相關的額外資產。

攻擊僅限於舊版 yETH 產品

區塊鏈數據顯示，yETH 穩定交換池在幾分鐘內被清空，留下約 280 萬美元的缺口。Yearn Finance(YFI) 表示，問題出在 yETH 的舊版實現中，不影響其 V2 或 V3 保險庫。建立在 Yearn V3 上的協議，包括 Katana，也報告沒有受到影響。

幾個輔助合約在攻擊前幾分鐘出現，並在池被清空後通過自毀調用消失，使追蹤變得更加困難。

審查交易的安全團隊，包括追蹤 Yearn 舊產品的審計師，將此事件與 yETH 代幣邏輯中長期存在的鑄幣弱點聯繫起來，而非 Yearn 當前保險庫架構中的問題。

該協議維持著一個活躍的漏洞獎勵計劃，對關鍵發現的獎勵高達 20 萬美元，不過目前尚未宣布任何恢復路徑。

流動性耗盡後鏈上活動加劇

池崩潰後不久，X 用戶 Togbo 標記了幾筆通過 Tornado Cash 的 100 ETH 批次轉移。在攻擊後的幾小時內，總共約 1,000 ETH 被混合。攻擊者在多個錢包中仍保留著價值數百萬美元的額外資產。

yETH 池在漏洞發生前持有約 1,100 萬美元，雖然最終損失數字仍在審查中，但 Yearn 表示活躍保險庫中的用戶資金仍然安全。

這一事件增加了該協議管理遺留風險的長期記錄，繼 2021 年 yDAI 攻擊和 2023 年不影響存款人的財庫配置錯誤之後。事件發生後，YFI 下滑了約 4%，在發稿時交易價格接近 4,002 美元。