在Web3金融快速發展的浪潮中,安全漏洞如同懸在去中心化協議頭頂的達摩克利斯之劍。近日,DeFi巨頭Yearn Finance旗下的yETH產品遭遇鑄造漏洞攻擊,再次拉響了Web3世界的安全警報。攻擊者利用精心設計的漏洞,成功鑄造了無限量的yETH代幣,從而在單筆交易中抽乾了資金池,獲利約1,000枚ETH(按當前價格計算價值約300萬美元)。部分被盜資金已被轉入混幣協議Tornado Cash,給追溯帶來了巨大挑戰。這起正在發展中的新聞,不僅暴露了複雜DeFi協議的潛在脆弱性,更深刻提醒所有Web3參與者,安全防護與代碼審計的極端重要性。
一、Yearn yETH遭遇“無限鑄造”漏洞攻擊,300萬美元ETH被盜
收益耕作協議Yearn Finance旗下的yETH產品遭遇鑄造漏洞攻擊,攻擊者似乎利用漏洞鑄造了接近無限量的yETH,從而在單筆交易中抽乾池子並獲利約1,000枚ETH(約300萬美元)。
攻擊手法: 區塊鏈數據顯示,yETH資金池顯然是通過精心設計的漏洞利用程序被清空的,該程序通過一次交易鑄造了近乎無限數量的yETH代幣,從而清空了資金池。
被盜資產與轉移: 此次攻擊導致1,000枚ETH(按當前價格計算價值約300萬美元)被發送到混幣協議Tornado Cash。混幣協議的使用,使得資金追溯變得異常困難。
攻擊複雜性: 區塊鏈數據顯示,此次攻擊似乎涉及多個新部署的智能合約,其中一些在交易完成後自行銷毀,進一步增加了調查的難度。
潛在損失: 目前尚不清楚損失總額,但攻擊前yETH資金池的價值約為1100萬美元。
二、Yearn Finance的緊急響應:調查進行中,V2與V3 Vaults未受影響
Yearn Finance團隊在事件發生後迅速作出響應,並向社區通報了最新情況。
官方通報: Yearn在X上寫道:“我們正在調查一起涉及yETH LST穩定幣池的事件。Yearn Vaults(包括V2和V3)不受影響。”
Togbe的發現: 此次駭客攻擊最先由X用戶Togbe發現。Togbe在監控大額轉帳時注意到了這起明顯的攻擊。“淨轉帳數據顯示,yETH超級鑄幣讓攻擊者榨乾了資金池,從中獲利約1000 ETH,”Togbe在一條消息中寫道。“雖然還有其他ETH被犧牲,但他們仍然獲利了結。”
三、yETH:流動性質押代幣聚合器與潛在風險
Yearn Ether (yETH) 是Yearn Finance旗下的產品,旨在將流行的LST(流動性質押代幣)聚合為一個代幣。
功能: yETH將流行的LST聚合為一個代幣,使用戶能夠通過單一入口獲得多種LST的收益。
潛在風險: 聚合多種LST的複雜機制,可能在智能合約層面引入更多潛在漏洞,增加了被攻擊的風險。
四、Yearn Finance的“黑歷史”:屢次遭遇攻擊
這並非Yearn Finance首次遭遇安全事件。
2021年攻擊: 2021年,Yearn Finance遭遇網路攻擊,其yDAI金庫損失1100萬美元,駭客竊取了280萬美元。
2023年故障腳本: 2023年12月,該協議表示,一個故障腳本導致其一個金庫頭寸損失了63%,但用戶資金未受影響。
創始人離去: Yearn的創始人Andre Cronje於2020年創立了該專案,並在兩年後離開了專案。
五、Web3安全警鐘再敲響:複雜協議的潛在脆弱性
Yearn Finance yETH遭遇鑄造漏洞攻擊事件,再次為Web3領域的安全敲響了警鐘。
智能合約複雜性: 複雜的DeFi協議,尤其是聚合多種代幣和衍生品的協議,其智能合約代碼可能存在難以發現的漏洞。
審計與測試的挑戰: 即使經過多次審計和測試,也難以完全排除所有潛在漏洞,尤其是在系統互動和極端情況下的表現。
混幣協議的威脅: Tornado Cash等混幣協議的使用,使得被盜資金的追溯和凍結變得異常困難,增加了打擊加密犯罪的難度。
結語:
Yearn Finance yETH遭遇鑄造漏洞攻擊,導致300萬美元ETH被盜並轉入Tornado Cash,是Web3領域近期發生的一起重大安全事件。這不僅再次凸顯了複雜DeFi協議的潛在脆弱性,更深刻提醒所有Web3參與者,安全防護與代碼審計的極端重要性。在Web3金融快速發展的浪潮中,如何在創新與安全之間找到平衡,將是所有專案方必須面對的嚴峻挑戰。