Yearn Finance旗下的yETH遭遇了铸造漏洞攻击，导致约有1000枚ETH被盗并转入Tornado Cash，凸显出复杂DeFi协议潜在的安全风险，也再次提醒Web3社区重视智能合约的安全性和代码审计的重要性。

在Web3金融快速发展的大背景下，安全漏洞像一把悬在去中心化协议头顶的达摩克利斯之剑。最近，DeFi巨头Yearn Finance旗下的yETH产品再次遭遇铸造漏洞攻击，发出强烈的安全警示。攻击者利用漏洞，成功实现无限量铸造yETH代币，从而在一次交易中抽干了资金池，获利大约1000枚ETH（按当前市价估值约300万美元）。部分被盗资金已流入匿名混币协议Tornado Cash，极大增加了追踪难度。这一事件不仅暴露了高度复杂的DeFi协议潜在的脆弱性，也再次强调了安全防护和代码审计的关键作用。

一、Yearn yETH遭遇“无限铸造”漏洞攻击，价值约300万美元的ETH被盗

Yearn Finance的收益耕作产品yETH遇到的漏洞，使得攻击者可以无限制铸造yETH，单笔攻击中便洗劫了资金池，获利约1000枚ETH（约合300万美元）。

• 攻击手法：根据链上数据，攻击者利用精心设计的漏洞，清空了yETH资金池。通过一笔交易，成功铸造出几乎无限的yETH代币，导致资金池被稀释殆尽。

• 被盗资产与转移：此次盗取的1000枚ETH已转入匿名混币协议Tornado Cash，增加了追查难度。

• 攻击的复杂性：链上数据显示，攻击涉及多份新部署的智能合约，且部分合约在交易完成后自行销毁，使得事件调查更加困难。

• 潜在损失：目前尚未统计总体损失，但攻击前yETH资金池的估值约在1100万美元左右。

二、Yearn团队的应对：调查正在进行中，V2与V3 vaults暂未受影响

事件发生后，Yearn Finance官方迅速作出回应，向社区通报最新进展。

• 官方声明：通过X（推特）发布公告：“我们正在调查一宗涉及yETH LST稳定币池的安全事件。目前，Yearn的Vaults（包括V2和V3版本）未受到影响。”

• 发现者：此次攻击最早由X用户Togbe监测到。在监控大额转账时，他观察到异常行为：“从转账数据来看，攻击者通过超级铸币机制，榨干了资金池，获利约1000 ETH。”

三、yETH：流动性质押代币聚合器及其潜在风险

yETH是Yearn Finance推出的产品，旨在将多种流动性质押代币（LST）合为一个统一的代币。

• 功能：将不同的LST汇聚为一个通用代币，用户可以通过单一入口享受多重LST的收益策略。

• 潜在风险：由多种LST聚合组成的机制复杂，可能在智能合约设计中引入更多未预料的漏洞，增加被攻击风险。

四、Yearn Finance的历史安全事件回顾

Yearn Finance并非首次遭遇安全事件，其安全纪录中曾有多次漏洞和攻击的经历。

• 2021年：在2021年，Yearn的yDAI金库曾被攻击，导致约1100万美元资产损失，其中黑客窃取了价值约280万美元的资金。

• 2023年12月：公告显示，由于某个脚本故障，部分金库头寸遭受了63%的损失，但用户的资金未受到波及。

• 创始人离职：Yearn的创始人Andrew Cronje于2020年建立该项目，两年后宣布离开，项目的安全管理面临一定挑战。

五、Web3安全持续警示：复杂协议的潜在脆弱性

Yearn yETH漏洞再次敲响了Web3安全的警钟，提醒大家关注复杂DeFi协议中的潜在风险。

• 智能合约的复杂性：高度复杂的DeFi协议，尤其是涉及多资产、多模块交互的合约，隐藏着难以发现的漏洞。

• 审计和测试的挑战：即便经过严格审计，也难以完全避免极端情况下的安全隐患，尤其是在合约组合交互的复杂场景中。

• 混币协议的威胁：以Tornado Cash为代表的混币工具，为资金追踪和冻结带来了巨大困难，也为非法资金洗白提供了便利。

总结：

Yearn Finance的yETH遭遇铸造漏洞，导致价值约300万美元的ETH被盗并转入Tornado Cash，这不仅是近期Web3安全事件中的重大一例，也再次提醒行业重视智能合约的安全设计和审计工作。随着DeFi生态的不断扩展，如何在推动创新的同时保障安全，是所有项目方必须深入思考的重要课题。在未来的Web3发展道路上，安全与创新的平衡，将是行业持续前行的关键所在。

附言：Telegram创始人杜罗夫宣布，Cocoon去中心化AI网络正式上线，期待人工智能与区块链的结合带来更多可能性。