Yearn Finance yETH 池被利用：$3 Million ETH 通過 Tornado Cash 洗錢

收益農業協議 Yearn Finance 於2025年11月30日確認其 yETH 產品遭到攻擊，攻擊者鑄造了無限量的 yETH 代幣，並從連接的流動性池中抽取了大約 $3 百萬 資產。根據鏈上分析，被盜資金的價值約爲1,000 姨太，隨後通過隱私混合器 Tornado Cash 洗錢。

事件詳情

此次攻擊針對的是Balancer上yETH穩定交換池的舊版本實施，允許攻擊者在一次交易中生成近乎無限的yETH代幣。這使得攻擊者能夠提取真實資產，包括ETH和流行的流動質押衍生品，導致池中留下大約**$2.8百萬的漏洞**。Yearn Finance在X上報告了這一事件，表示：“我們正在調查一起涉及yETH LST穩定交換池的事件。Yearn Vaults (的V2和V3)均未受到影響。”

區塊鏈瀏覽器顯示，利用新部署的智能合約進行的攻擊在執行後自毀，掩蓋了蹤跡。攻擊者隨後將1,000姨太分割成更小的批次，並通過Tornado Cash這一被制裁的協議進行轉移，該協議以模糊交易歷史而聞名。

Yearn的回應與範圍

Yearn 強調，該漏洞僅限於一個實驗性的 yETH 合約，並未影響其核心的 V2 或 V3 Vaults，這些 Vaults 管理着超過 $500 百萬的資產。該協議維持着一個實時的漏洞賞金計劃，對關鍵發現的獎勵高達 $200,000，盡管尚未宣布任何立即的恢復路徑。隨着團隊繼續調查，詳細報告即將發布。

安全公司追蹤這一事件，包括審計師審查Yearn的遺留產品，認爲此次漏洞是由於yETH代幣邏輯中長期存在的鑄造弱點，而不是當前保險庫架構中的缺陷。

DeFi安全的更廣泛背景

根據CertiK的數據，這次漏洞是在2025年11月，DeFi面臨的一個挑戰性月份，整個行業因黑客攻擊、詐騙和漏洞損失了大約**$127 百萬**。這強調了即使對於像Yearn這樣的成熟協議，舊版智能合約實施中持續存在的風險，以及淘汰遺留代碼的重要性。

Yearn的透明溝通和對問題的隔離得到了社區的贊譽，避免了更大規模的災難。該事件提醒用戶關注協議更新，避免使用存在未修補漏洞的實驗性產品。

總之，Yearn yETH 的漏洞導致 $3 百萬資產被盜，攻擊者鑄造了無限代幣並通過 Tornado Cash 洗錢。Yearn 確認該問題僅涉及一個舊合約，對核心金庫沒有影響，並正在進一步調查，同時保持其漏洞獎勵計劃。