新聞 
幣種資訊 
關於我們 
根據 The Block 的報導,於 24 日(當地時間)脫鏈金融平台 Yearn Finance 遭遇大規模網路攻擊,駭客利用與 yETH 相關的智能合約漏洞,非法獲取並挪用超過 900 萬美元的資金,顯示 DeFi 生態系中客製化資產池的潛在風險仍然嚴峻。
此次攻擊針對的是 Yearn Finance 與早期版本的穩定幣兌換資金池(legacy stable pool)所綁定的 yETH 代幣。根據區塊鏈安全公司 PeckShield 的最初分析,攻擊者利用智能合約允許在無需抵押的情況下鑄造新增 yETH 的設計缺陷,大量發行該代幣後,把它注入包含 stETH、rETH 等以太幣(ETH)質押衍生商品的客製化資金池中,藉此吞噬池中流動性資產。
資安社群追蹤發現,攻擊者其後透過加密洗錢工具 Tornado Cash 將部分資金匿名化,目前已有超過 300 萬美元的以太幣被轉移,其餘價值大約 600 萬美元的資產依然存放於駭客控制的錢包地址(0xa80d…c822)中。
Yearn Finance 官方指出,初步調查顯示損失主要來自 Curve 的 yETH-WETH 資金池(約 90 萬美元)與另一自訂「exploit pool」(約 800 萬美元)。團隊亦在官方 Discord 中開放支援請求通道,協助用戶申報受損狀況。
本次事件發生後,Yearn Finance 已聯合 SEAL911 與資安審計公司 Chain Security 組成緊急應變小組,目前正進行數位鑑識分析。根據初步技術研判,攻擊手法複雜程度與近期 Balancer 協議的漏洞事件類似,後者曾因智能合約精度損失(precision loss)引發重大的資金錯誤計算漏洞,最終造成高達 1 億 2,000 萬美元的損失。
資安專家強調,儘管此類攻擊通常發生於特定資產池,但類似架構的漏洞可能存於其他 DeFi 協議中,應儘速展開結構性安全稽核。隨著金融衍生品結構愈趨複雜,未來攻擊者可能鎖定更多高價值流動性池進行操作。
評論:此次 Yearn Finance 攻擊凸顯了 DeFi 項目在智能合約設計與資金池結構安全性上的挑戰。一個看似微小的邏輯缺陷,可能導致數百萬美元損失,足見重複進行程式審計及重大部署前的安全評估至關重要。
近期,南韓知名交易所 Upbit 才遭駭客透過釣魚手法竊取價值 5,000 萬美元的 ETH,本次事件再次印證,即便是頂尖平台,也難以完全免於加密資產遭惡意攻擊的風險。去中心化金融的高彈性與創新性背後,潛藏的「安全風險」仍是所有參與者不可忽視的挑戰。
關鍵詞:Yearn Finance、yETH、智能合約漏洞、資安事件、去中心化金融、DeFi、以太幣(ETH)、衍生商品、安全審計
留言 0