Yearn Finance遭遇900万美元资金泄露，攻击者创建了无限量的yETH代币

本站报道：

Yearn Finance 报告称，yETH 的一款旧产品遭到攻击，攻击者利用漏洞铸造了大量假代币，并将其兑换成真实资产。

根据链上警报和协议声明，攻击者在一笔交易中创建了近乎无限量的 yETH，然后使用这些代币从流动性池中提取 ETH 和流动性质押衍生品。

该事件最早于 2025 年 11 月 30 日被发现，据报道总损失约为 900 万美元。

#PeckShield警报Yearn Finance@yearnfi遭受攻击，造成总损失约 900 万美元。

该漏洞利用涉及铸造近乎无限数量的 yETH 代币，通过一次交易耗尽代币池。

约1千以太坊（价值约300万美元）已发送至#龙卷风现金而剥削者的……pic.twitter.com/IXNygpwoWa

— PeckShieldAlert (@PeckShieldAlert)2025年12月1日

漏洞利用原理

基于报告攻击者利用 yETH 铸造逻辑中的一个漏洞，一次性制造了约 235 万亿个代币。

这些毫无价值的代币随后被兑换成与该产品挂钩的 Balancer 和 Curve 资金池中的真实资产，在几分钟内耗尽了流动性。区块链监控人员和安全研究人员发现，此次代币铸造和随后的兑换在区块链上迅速完成。

11月30日21:11 UTC，yETH稳定币池发生意外事件，导致大量yETH被铸造。受影响的合约是基于热门稳定币代码的定制版本，与其他Yearn产品无关。Yearn V2/V3金库不受影响。

— yearn (@yearnfi)2025年12月1日

哪些资产被没收了？

报道披露，约有 800 万美元从 yETH 稳定币兑换主池中被提取，约有 90 万美元从 yETH-WETH 池中被提取。

此外，攻击者还向 Tornado Cash 账户发送了约 1000 个 ETH（当时价值约 300 万美元），试图掩盖资金流向。攻击者将伪造的 yETH 兑换成 ETH 和流动性质押代币的混合物，然后试图洗钱。

目前加密货币总市值达 2.92 万亿美元。图表：TradingView

对Yearn核心产品的影响

据 Yearn 官方和后续报道，违规行为仅限于 yETH 产品的较旧版本，并未影响 Yearn 的主要 V2 和 V3 金库。

在团队和外部专家展开调查期间，受影响资金池中的存款已被隔离。据称，这种隔离措施使得活跃金库中的大部分用户资金免遭损失。

市场反应及更广泛的担忧

消息传开后，加密货币市场面临抛售压力，交易员们正在权衡将流动性质押代币与自定义兑换代码相结合所带来的风险。

Yearn Finance该公司表示，正在与外部安全团队合作进行事后分析并修复漏洞。据报道，参与调查的团队包括外部审计师和区块链调查员，他们正在追踪被盗资金并就追回方案提供建议。

该协议的通知警告用户有关受影响的旧版产品，并敦促用户在审查进行期间保持谨慎。

题图来自 Unsplash，图表来自 TradingView