IF9.CN最新报道,Yearn Finance的yETH聚合资产池近日遭遇重大安全漏洞,黑客通过异常铸造机制单日窃取超1000枚ETH(约合当前300万美元),资金经Tornado Cash混币器洗白转移。
区块链溯源显示,攻击者利用智能合约漏洞实现无限量yETH铸造,在单笔交易中完成资金池清空。经审计发现,共有5个新部署合约参与此次攻击,其中3个在完成攻击后自动销毁以规避追踪。
Yearn官方回应称,此次事件未波及V2/V3版本保险库及现有用户资产,但强调将全面升级安全架构。值得关注的是,该平台2021年曾因yDAI漏洞损失1100万美元,2023年另因合约错误导致63%资产冻结(用户资金已追回)。
安全研究员X社区用户Togbe率先披露线索:通过监测异常交易发现,攻击者采用‘铸造-转出-销毁合约’三步走策略,其中部分ETH因链上交易费用被‘献祭’,但最终仍成功获利约1000ETH。目前网络安全机构正在联合审计事件影响范围。
