價值300萬美元的ETH在疑似攻擊Yearn的yETH後被轉入Tornado Cash

收益農業協議Yearn Finance似乎成為了一次攻擊的目標，該攻擊從其Yearn Ether（yETH）產品中盜取了數百萬美元價值的流動質押代幣（LSTs），該產品將多種主流LSTs聚合為一個代幣。

區塊鏈數據顯示，yETH池似乎是通過一個精心設計的漏洞被清空，該漏洞鑄造了近乎無限數量的yETH代幣，並在一筆交易中將池子資金抽乾。由於這筆交易，1,000 ETH（以當前價格約為300萬美元）被發送至混幣協議Tornado Cash。

區塊鏈數據顯示，這次攻擊似乎涉及多個新部署的智能合約，其中一些在交易後自毀。最初損失的總金額尚不明確，而在攻擊發生前，yETH池的價值約為1,100萬美元。

這次駭客攻擊最早由X用戶Togbe發現，他告訴The Block，他在監控大額轉帳時注意到了這次明顯的攻擊。Togbe在訊息中表示：「淨轉帳顯示yETH超級鑄造讓攻擊者抽乾了池子，獲得了1,000 ETH的收益。雖然有其他ETH被犧牲，但他們仍然獲利離場。」

「我們正在調查涉及yETH LST穩定幣兌換池的事件，」Yearn在X上寫道。「Yearn Vaults（包括V2和V3）未受影響。」

在週日晚上11:10發布的新公告中，Yearn確認此次攻擊造成900萬美元損失——其中800萬美元來自穩定幣兌換池，另外90萬美元來自Curve上的yETH-WETH穩定幣兌換池。Yearn表示，正在與SEAL 911和ChainSecurity合作，進行全面的事後調查。

「初步分析顯示，這次駭客攻擊的複雜程度與近期Balancer駭客事件相似，因此請耐心等待我們完成事後分析，」Yearn在公告中寫道。「沒有其他Yearn產品使用與此次受影響相同的程式碼。」

Yearn Finance在2021年曾遭遇一次漏洞攻擊，影響了其yDAI金庫，損失了1,100萬美元價值，駭客獲利280萬美元。2023年12月，該協議表示一個有缺陷的腳本導致其一個金庫頭寸損失了63%，但用戶資金未受影響。Yearn創辦人Andre Cronje於2020年創立該項目，兩年後離開。

The Block暫時無法聯繫到Yearn置評。此事件仍在持續發展中。

本報導已更新，補充Yearn的後續公告