12 月 1 日,去中心化金融協議 Yearn Finance 疑似遭受攻擊,駭客透過無限鑄造 yETH 的方式耗盡其流動性資金池。
據安全公司 PeckShield 披露,本次攻擊造成的總損失約達 900 萬美元。
區塊鏈數據顯示,攻擊者已將 1,000 枚 ETH(約合 300 萬美元)轉移至加密混合器 Tornado Cash,而攻擊者地址目前仍持有價值約 600 萬美元的加密資產。
01 事件概述:yETH 池被迅速抽乾
Yearn Finance 的 Yearn Ether(yETH)產品於 12 月 1 日遭遇嚴重攻擊,該產品是一種聚合多種主流流動性質押代幣(LST)的指數型代幣。
攻擊者利用一個精心設計的漏洞,在單筆交易中鑄造了近乎無限量的 yETH 代幣,迅速抽乾了整個流動性資金池。
根據區塊鏈數據,此次攻擊涉及多個新部署的智能合約,其中部分合約在交易完成後立即自毀,這也增加了事件調查的複雜性。
攻擊發生後,Yearn Finance 在 X 平台發布聲明:「我們正在調查涉及 yETH LST StableSwap 池的事件,Yearn 的 V2 和 V3 金庫未受影響。」
02 攻擊手法:無限鑄造與資金轉移
根據 X 用戶 Togbe 的監測,他們是在監控大額轉帳時發現了這起異常攻擊。
Togbe 解釋道:「淨轉帳顯示 yETH 被過度鑄造,這使得攻擊者能夠以某種方式抽乾資金池並獲利約 1,000 枚 ETH。」
攻擊過程中,部分 ETH 因未知原因遭到損失,但攻擊者最終仍然獲利。
在得手後,攻擊者將 1,000 枚 ETH(價值約 300 萬美元)轉入 Tornado Cash,這是一個去中心化的隱私協議,常用於隱藏資金流向。
根據 PeckShield 數據,攻擊者地址目前仍持有價值約 600 萬美元的加密資產。
03 Tornado Cash:隱私工具與洗錢爭議
Tornado Cash 是一個基於以太坊的去中心化隱私協議,透過零知識證明技術協助用戶隱藏交易資訊。
該協議透過切斷存款與提款地址間的鏈上連結,為用戶提供隱私保護。
然而,這項隱私特性也讓其成為駭客洗錢的首選工具。
美國財政部曾於 2022 年 8 月將 Tornado Cash 列入制裁名單,理由是自 2019 年以來,駭客組織 Lazarus 多次利用該平台洗錢,涉及金額高達數億美元。
2025 年 3 月,Tornado Cash 終於從美國財政部的制裁名單中移除,這被視為區塊鏈產業的一次重要勝利。
04 Yearn Finance 的安全歷史
這並非 Yearn Finance 首次遭遇安全事件。
2021 年,該協議曾遭受攻擊,影響到其 yDAI 保險庫,造成 1,100 萬美元損失,駭客最終獲利 280 萬美元。
2023 年 12 月,因腳本錯誤,該協議的一個金庫倉位出現了 63% 的損失,但用戶資金未受影響。
Yearn Finance 創辦人 Andre Cronje 於 2020 年啟動該項目,但兩年後便離開。
05 市場影響與加密貨幣整體下跌
攻擊發生之際,加密貨幣市場正經歷劇烈下跌。
12 月 1 日早上,比特幣一度跌破 86,000 美元,日內跌幅超過 5%;以太坊也失守 2,900 美元關卡。
Coinglass 數據顯示,24 小時內,加密貨幣全網合約爆倉超過 5 億美元,爆倉人數達到 17.72 萬。
此次市場下跌可能與市場傳聞有關——有消息稱美聯儲主席鮑威爾可能辭職,不過國外主流媒體並未報導此消息,分析人士認為這大概率是假消息。
06 行業回應與未來展望
每次駭客攻擊事件都引發對 DeFi 安全性的質疑。
在 Tornado Cash 案例中,美國司法部曾於 2023 年 8 月對 Tornado Cash 共同創辦人 Roman Storm 和 Roman Semenov 提起刑事訴訟,指控他們共謀洗錢、未經許可經營資金轉移業務及違反制裁法規。
業界組織對此表示反對,Coin Center 指出:「將開源軟體的開發行為視為犯罪,是對技術創新的打壓。」
對機構投資者而言,Tornado Cash 案例顯示監管機構現在要求主動合規,而不僅僅是遵守交易對手身分驗證。
機構需要導入即時區塊鏈監控系統,並結合自動化制裁篩選,以在問題交易發生前即時識別並阻止。
未來展望
區塊鏈安全公司 PeckShield 估計,本次攻擊造成的總損失約為 900 萬美元,其中約 300 萬美元已轉入 Tornado Cash,攻擊者地址仍持有約 600 萬美元的加密資產。
截至發稿時,Yearn Finance 團隊仍在調查此事件,並確認其 V2 和 V3 金庫未受影響。本次事件再度凸顯 DeFi 領域在安全性與監管合規間持續面臨的挑戰。
