Yearn Finance 遭无限铸币攻击损失 900 万美元，手法类似 Balancer 事件？

去中心化收益协议 Yearn Finance 再度发生重大资安事件，其 Yearn Ether (yETH) 流动性池在今日遭到合约攻击，骇客利用客制化稳定兑换合约中的漏洞，成功进行「无限铸币」操作并抽干整个池子，最终造成约 900 万美元损失。Yearn 强调此事故仅限於单一自订合约，其他 Vault 产品不受影响。

攻击如何发生？Yearn 遭无限铸币攻击，损失 900 万美元

链上监控者 Togbe 指出，他先观察到 yETH 相关地址接连出现大量可疑操作，包括临时合约部署、奇怪的兑换路径，以及与 Tornado Cash 的大量互动。随后厘清了这起攻击的核心，在于 yETH 所使用的客制化稳定兑换 (stableswap) 合约。

他指出，yETH 本身是 Yearn 为整合多种 LST 而设计的指数型资产，而攻击者找出了该合约逻辑中的漏洞，使其能铸造出近乎无限量的 yETH。这些代币随后被兑换成池子里的真实资产，包括 ETH 与其他 LST，使得整个池子在单笔交易中被掏空。

合约被铸造出天文数字级别的 yETH

据悉，该攻击由多个临时部署的智能合约共同构成。其中部分合约在完成攻击后立即自毁，显示攻击路径经过缜密推演，也提升追查难度。一开始外界仅看到约 1,000 ETH (约 300 万美元) 被转入 Tornado Cash，实际上整起事件的损失远不止如此。

影响是否扩大？Yearn 强调 V2、V3 与其他产品均安全

Yearn 官方也立刻发布公告，表示主要池子损失约 800 万美元，另有约 90 万美元来自 Curve 上的 yETH-WETH 池，总计损失约 900 万美元。

团队也立刻安抚用户，强调该事件仅与 yETH 使用的客制化稳定 (stableswap) 合约有关，并不涉及 Yearn 主要部署的 Vault 设计。换言之，V2 与 V3 Vaults 均未受波及，yCRV、Katana、Morpho 等相关产品也都维持正常运作。

不幸中的大幸是，yETH 并未被市场各大借贷协议用作抵押品，因此没有引发连锁清算或系统性压力，让影响得以控制在相对有限的范围内。

资安团队派盾指出，除了已被洗入 Tornado Cash 的部分资金外，攻击者地址目前仍留有约 600 万美元未移动，可能仍在观察调查进展。

手法类似 Balancer 攻击，后续调查仍在进行中

Yearn 团队表示，这起攻击的复杂度相当高，甚至与近期的 Balancer 事件具备某些相似特征，包括多层合约互动、交易逻辑以及对曲线定价模型的深度理解。官方正与多位审计伙伴 ChainSecurity 展开全面调查，以尽快释出进一步的完整报告。

(Balancer 连锁反应？Stream Finance 爆 9300 万美元损失、xUSD 脱钩崩溃)

这篇文章 Yearn Finance 遭无限铸币攻击损失 900 万美元，手法类似 Balancer 事件？ 最早出现于 链新闻 ABMedia。