Yearn Finance 遭受 yETH 漏洞攻击，300万美元被发送至 Tornado Cash

Yearn Finance 正在处理一起新的安全漏洞，攻击者利用其 yETH 代币合约并从 Balancer 池中抽走了数百万的 ETH 和流动性质押资产。

事件发生在 11 月 30 日晚，当时攻击者触发了 yETH 合约内的无限铸造漏洞。他们随后在单笔交易中铸造了超过 235 万亿个代币的巨量 yETH。 

利用这些代币，攻击者迅速通过 Balancer 池移除真实资产，包括 ETH 和流行的质押衍生品。初步追踪显示，漏洞利用后不久，接近 300 万美元通过 Tornado Cash 流出，而攻击者的地址仍持有与该事件相关的额外资产。

漏洞仅限于旧版 yETH 产品

区块链数据显示，yETH 稳定交换池在几分钟内被清空，留下约 280 万美元的缺口。Yearn Finance(YFI) 表示，问题出在 yETH 的较旧实现中，不会影响其 V2 或 V3 金库。基于 Yearn V3 构建的协议，包括 Katana，也报告没有受到影响。

几个辅助合约在攻击前几分钟出现，并在池被抽空后通过自毁调用消失，使追踪变得更加困难。

审查交易的安全团队，包括追踪 Yearn 旧产品的审计员，将该事件与 yETH 代币逻辑中长期存在的铸造弱点联系起来，而非 Yearn 当前金库架构中的问题。

该协议维持着一个实时漏洞赏金计划，对关键发现的奖励高达 20 万美元，不过目前尚未宣布任何恢复路径。

流动性耗尽后链上活动加剧

池崩溃后不久，X 用户 Togbo 标记了几批通过 Tornado Cash 的 100 ETH 转移。在漏洞利用后的几小时内，总共约 1,000 ETH 被混合。攻击者在多个钱包中仍保留价值数百万美元的额外资产。

yETH 池在漏洞发生前约有 1,100 万美元，虽然最终损失数字仍在审查中，但 Yearn 表示活跃金库内的用户资金仍然安全。

这一事件增加了该协议管理遗留风险的长期记录，继 2021 年 yDAI 漏洞和 2023 年未影响存款人的财库配置错误之后。事件发生后，YFI 下滑约 4%，截至发稿时交易价格接近 4,002 美元。