Yearn Finance 确认在未经授权的 YETH 铸造事件后损失 $9 百万

攻击者利用了一个旧版yETH合约，几乎从两个流动性池中抽走了$9 百万。

关于$3 百万被盗姨太通过Tornado Cash转移，而$6 百万仍在攻击者的钱包中。

Yearn Finance确认此问题仅影响了旧版产品，目前调查仍在进行中，尚未公布恢复计划。

Yearn Finance 报告了一起重大的安全事件，攻击者访问了一个自定义流动性池并创建了无限量的 yETH 代币。该事件造成了近 $9 万的损失，并引发了立即的调查工作。该平台表示，问题涉及一个旧产品，并未影响活跃的金库。这一漏洞引发了对整个去中心化金融领域的新审查，调查人员追踪被盗资产的流动。

未经授权的代币创建使大型资产流失成为可能

事件发生在11月30日21:11 UTC，当时攻击者针对与Yearn的yETH代币相关的合约。调查人员表示，该合约采用了一种与平台主要产品不同的独特设计。这种设计创造了一个漏洞，使攻击者能够铸造远超预期限制的yETH代币。过量的铸造随后允许从连接的流动性池中直接提现。

攻击者从一个主要的稳定交换流动性池中移除了大约$8 百万。此外，攻击者从Curve托管的yETH-WETH池中提取了约$0.9百万。总损失接近$9 百万。事件在一次执行中展开，调查人员将其描述为对可用流动性进行的快速抽取。

通过龙卷风现金的资金流动跟随攻击

在未经授权的提款发生后，追踪组织观察到攻击者转移了部分被盗资金。PeckShieldAlert的分析师报告称，攻击者通过Tornado Cash转移了大约1,000 姨太，价值约$3 百万。这项服务通常可以实现交易混淆，从而限制对下一步目的地的可见性。

攻击者保留了剩余资产的控制权。钱包记录显示，地址为0xa80d…c822的地址仍持有大约$6 百万的各种代币。这些持有的资产包括在初始抽取过程中获得的几种质押的姨太衍生品。

Yearn Finance团队在调查持续进行时作出回应

Yearn Finance表示，漏洞仅影响了传统的yETH产品。团队报告称，活跃的金库和用户头寸没有面临风险。安全合作伙伴和审计组现在正在审核此事件，以确定是什么导致了合同的弱点以及未经授权的铸造是如何发生的。Yearn Finance尚未宣布任何资产回收流程。调查人员继续记录资金流动并分析受损合同。市场数据显示，事件后治理代币YFI的交易价格接近$3,956，并记录了约4.4%的下降。