尽管DeFi生态系统在实现金融自主方面具有革命性意义,但仍然是一个高风险的领域。即使是已经成熟的协议,也容易受到灾难性攻击的威胁。最近发生的涉及yETH的900万美元黑客攻击就是一个引人关注的案例。
向往 Finance2025年11月下旬发生的事件再次警示我们智能合约系统的脆弱性以及健全风险管理的重要性。此次事件利用缓存存储变量的漏洞,铸造了高达235万亿亿个yETH代币,凸显了协议需要在优化gas消耗和严格安全措施之间取得平衡的必要性。然而,Yearn在应对此次安全漏洞时采取的协调一致的恢复措施和透明度也表明,积极主动的措施可以有效减轻声誉损失,维护投资者信任。yETH漏洞:技术解析
漏洞
YearnFinance 的 yETH 资金池源于其内部会计系统的一个严重缺陷。该协议使用了缓存存储变量——具体来说,packed_vbs[]-通过存储虚拟余额信息来优化 gas 成本。然而, 此缓存机制未能重置虚拟余额。资金池被清空后,攻击者得以利用先前交易的剩余价值。通过闪电贷,攻击者执行多次充值提现操作,积累了虚高的缓存余额。然后,这些余额被用于以指数级规模铸造 yETH 代币,仅用 16 wei 的充值就有效地清空了资金池。 根据分析.被盗资产迅速兑换成WETH,并通过诸如……之类的平台进行洗钱。
龙卷风现金, 据报道这使得恢复工作更加复杂。虽然此次攻击暴露了传统智能合约的一个关键漏洞, Yearn 的 V2 和 V3 金库未受影响。强调建筑隔离在最大限度降低系统性风险方面的重要性。