Yearn Finance 確認在未經授權的 YETH 鑄造事件後損失 $9 百萬

攻擊者利用了一個舊版yETH合約，幾乎從兩個流動性池中抽走了$9 百萬。

關於$3 百萬被盜姨太通過Tornado Cash轉移，而$6 百萬仍在攻擊者的錢包中。

Yearn Finance確認此問題僅影響了舊版產品，目前調查仍在進行中，尚未公布恢復計劃。

Yearn Finance 報告了一起重大的安全事件，攻擊者訪問了一個自定義流動性池並創建了無限量的 yETH 代幣。該事件造成了近 $9 萬的損失，並引發了立即的調查工作。該平台表示，問題涉及一個舊產品，並未影響活躍的金庫。這一漏洞引發了對整個去中心化金融領域的新審查，調查人員追蹤被盜資產的流動。

未經授權的代幣創建使大型資產流失成爲可能

事件發生在11月30日21:11 UTC，當時攻擊者針對與Yearn的yETH代幣相關的合約。調查人員表示，該合約採用了一種與平台主要產品不同的獨特設計。這種設計創造了一個漏洞，使攻擊者能夠鑄造遠超預期限制的yETH代幣。過量的鑄造隨後允許從連接的流動性池中直接提現。

攻擊者從一個主要的穩定交換流動性池中移除了大約$8 百萬。此外，攻擊者從Curve托管的yETH-WETH池中提取了約$0.9百萬。總損失接近$9 百萬。事件在一次執行中展開，調查人員將其描述爲對可用流動性進行的快速抽取。

通過龍卷風現金的資金流動跟隨攻擊

在未經授權的提款發生後，追蹤組織觀察到攻擊者轉移了部分被盜資金。PeckShieldAlert的分析師報告稱，攻擊者通過Tornado Cash轉移了大約1,000 姨太，價值約$3 百萬。這項服務通常可以實現交易混淆，從而限制對下一步目的地的可見性。

攻擊者保留了剩餘資產的控制權。錢包記錄顯示，地址爲0xa80d…c822的地址仍持有大約$6 百萬的各種代幣。這些持有的資產包括在初始抽取過程中獲得的幾種質押的姨太衍生品。

Yearn Finance團隊在調查持續進行時作出回應

Yearn Finance表示，漏洞僅影響了傳統的yETH產品。團隊報告稱，活躍的金庫和用戶頭寸沒有面臨風險。安全合作夥伴和審計組現在正在審核此事件，以確定是什麼導致了合同的弱點以及未經授權的鑄造是如何發生的。Yearn Finance尚未宣布任何資產回收流程。調查人員繼續記錄資金流動並分析受損合同。市場數據顯示，事件後治理代幣YFI的交易價格接近$3,956，並記錄了約4.4%的下降。