12 月 1 日,去中心化金融协议 Yearn Finance 疑似遭遇攻击,黑客通过无限铸造 yETH 的方式耗尽了其流动性资金池。
据安全公司 PeckShield 披露,本次攻击造成的总损失约达 900 万美元。
区块链数据显示,攻击者已将 1000 枚 ETH(约合 300 万美元)转移至加密混合器 Tornado Cash,而攻击者地址目前仍持有价值约 600 万美元的加密资产。
01 事件概述:yETH 池被迅速抽干
Yearn Finance 的 Yearn Ether(yETH)产品在 12 月 1 日遭遇严重攻击,该产品是一个聚合了多种流行流动性质押代币(LST)的指数代币。
攻击者通过一个精心设计的漏洞,在一笔交易中铸造了近无限量的 yETH 代币,迅速抽干了整个流动性资金池。
据区块链数据,此次攻击涉及多个新部署的智能合约,其中部分合约在交易完成后立即自毁,这增加了事件调查的复杂性。
攻击发生后,Yearn Finance 在 X 平台发布声明:“我们正在调查涉及 yETH LST StableSwap 池的事件,Yearn 的 V2 和 V3 金库未受影响。”
02 攻击手法:无限铸造与资金转移
根据 X 用户 Togbe 的监测,他们是在监控大额转账时发现了这起异常攻击。
Togbe 解释道:“净转账显示 yETH 被过度铸造,这使得攻击者能够以某种方式抽干资金池并获利约 1,000 枚 ETH。”
攻击过程中,部分 ETH 因未知原因被牺牲,但攻击者最终仍然获利。
在得手后,攻击者将 1000 枚 ETH(价值约 300 万美元)转入了 Tornado Cash,这是一个去中心化的隐私协议,常被用于隐藏资金流向。
据 PeckShield 数据,攻击者地址目前仍持有价值约 600 万美元的加密资产。
03 Tornado Cash:隐私工具与洗钱争议
Tornado Cash 是一个基于以太坊的去中心化隐私协议,通过零知识证明技术帮助用户隐藏交易信息。
该协议通过切断存取款地址之间的链上链接,为用户提供隐私保护。
然而,这种隐私特性也使其成为黑客洗钱的首选工具。
美国财政部曾在 2022 年 8 月将 Tornado Cash 列入制裁名单,理由是自 2019 年以来,黑客组织 Lazarus 多次使用该平台洗钱,涉及金额高达数亿美元。
2025 年 3 月,Tornado Cash 终于从美国财政部的制裁名单中移除,这被看作是区块链行业的一次重要胜利。
04 Yearn Finance 的安全历史
这并非是 Yearn Finance 首次遭遇安全事件。
2021 年,该协议曾遭受攻击,影响到其 yDAI 保险库,造成 1100 万美元的损失,黑客最终获利 280 万美元。
在 2023 年 12 月,由于脚本错误,该协议的一个金库仓位出现了 63% 的损失,但用户资金未受影响。
Yearn Finance 的创始人 Andre Cronje 于 2020 年启动了该项目,但两年后便离开了。
05 市场影响与加密货币整体下跌
攻击发生之际,加密货币市场正经历大幅下跌。
12 月 1 日早间,比特币一度跌破 8.6 万美元,日内跌幅超过 5%;以太坊也失守 2900 美元关口。
Coinglass 数据显示,24 小时内,加密货币全网合约爆仓超 5 亿美元,爆仓人数达到 17.72 万。
此次市场下跌可能与市场传闻有关——有消息称美联储主席鲍威尔可能辞职,不过国外主流媒体并未报道这一消息,分析人士认为这大概率是假消息。
06 行业回应与未来展望
每次黑客攻击事件都引发关于 DeFi 安全性的质疑。
在 Tornado Cash 案例中,美国司法部曾于 2023 年 8 月对 Tornado Cash 的共同创始人 Roman Storm 和 Roman Semenov 提起刑事诉讼,指控他们共谋洗钱、未经许可经营资金转移业务及违反制裁法规。
行业组织对此表示反对,Coin Center 指出,“将开源软件的开发行为视为犯罪是对技术创新的打压。”
对于机构投资者来说,Tornado Cash 案例表明监管机构现在要求主动合规,而不仅仅是遵守交易对手身份验证。
机构需要实施实时区块链监控系统,并结合自动化制裁筛选,以在问题交易发生前识别和阻止它们。
未来展望
区块链安全公司 PeckShield 估计,本次攻击造成的总损失约为 900 万美元,其中约 300 万美元已转入 Tornado Cash,攻击者地址仍持有约 600 万美元的加密资产。
截至发稿时,Yearn Finance 团队仍在调查这一事件,并确认其 V2 和 V3 金库未受影响。本次事件再次凸显了 DeFi 领域在安全性与监管合规之间面临的持续挑战。