Yearn Finance yETH 池被利用：$3 Million ETH 通过 Tornado Cash 洗钱

收益农业协议 Yearn Finance 于2025年11月30日确认其 yETH 产品遭到攻击，攻击者铸造了无限量的 yETH 代币，并从连接的流动性池中抽取了大约 $3 百万 资产。根据链上分析，被盗资金的价值约为1,000 姨太，随后通过隐私混合器 Tornado Cash 洗钱。

事件详情

此次攻击针对的是Balancer上yETH稳定交换池的旧版本实施，允许攻击者在一次交易中生成近乎无限的yETH代币。这使得攻击者能够提取真实资产，包括ETH和流行的流动质押衍生品，导致池中留下大约**$2.8百万的漏洞**。Yearn Finance在X上报告了这一事件，表示：“我们正在调查一起涉及yETH LST稳定交换池的事件。Yearn Vaults (的V2和V3)均未受到影响。”

区块链浏览器显示，利用新部署的智能合约进行的攻击在执行后自毁，掩盖了踪迹。攻击者随后将1,000姨太分割成更小的批次，并通过Tornado Cash这一被制裁的协议进行转移，该协议以模糊交易历史而闻名。

Yearn的回应与范围

Yearn 强调，该漏洞仅限于一个实验性的 yETH 合约，并未影响其核心的 V2 或 V3 Vaults，这些 Vaults 管理着超过 $500 百万的资产。该协议维持着一个实时的漏洞赏金计划，对关键发现的奖励高达 $200,000，尽管尚未宣布任何立即的恢复路径。随着团队继续调查，详细报告即将发布。

安全公司追踪这一事件，包括审计师审查Yearn的遗留产品，认为此次漏洞是由于yETH代币逻辑中长期存在的铸造弱点，而不是当前保险库架构中的缺陷。

DeFi安全的更广泛背景

根据CertiK的数据，这次漏洞是在2025年11月，DeFi面临的一个挑战性月份，整个行业因黑客攻击、诈骗和漏洞损失了大约**$127 百万**。这强调了即使对于像Yearn这样的成熟协议，旧版智能合约实施中持续存在的风险，以及淘汰遗留代码的重要性。

Yearn的透明沟通和对问题的隔离得到了社区的赞誉，避免了更大规模的灾难。该事件提醒用户关注协议更新，避免使用存在未修补漏洞的实验性产品。

总之，Yearn yETH 的漏洞导致 $3 百万资产被盗，攻击者铸造了无限代币并通过 Tornado Cash 洗钱。Yearn 确认该问题仅涉及一个旧合约，对核心金库没有影响，并正在进一步调查，同时保持其漏洞奖励计划。