Yearn Finance 的 yETH 合约发生重大安全漏洞，黑客将 300 万枚 ETH 发送至 Tornado Cash

yETH 漏洞事件综述

Yearn Finance 作为知名去中心化金融（DeFi）协议，其 yETH 产品近日爆发重大安全漏洞。此次事件出现了无限铸造漏洞，黑客可通过单笔交易抽干 yETH 资金池。该复杂攻击手法再次暴露了 DeFi 生态系统的安全隐患，并对智能合约漏洞问题引发极大关注。

yETH 是一种创新型 流动质押产品，作为指数化代币聚合多种以太坊（ETH）流动质押版本。具体来说，yETH 由多种 以太坊流动质押衍生品（LSDs）组成，让用户可分散持有多种质押协议风险。这一“篮子”策略旨在降低风险并保持质押资产流动性。

Yearn Finance 第一时间通过官方渠道确认事件，并向用户保证其核心 V2 和 V3 金库未受影响，系统安全稳定。这一声明至关重要，因为相关金库存有大量用户资产，是协议核心产品。漏洞仅影响 yETH 产品，有效防止了更大范围的生态风险。

区块链分析显示，黑客通过铸造漏洞几乎无限生成 yETH 代币，并系统性地从为 yETH 交易提供流动性的 Balancer 池中提取数百万美元。攻击操作精准高效，显示出极强技术实力和精心部署。

财务损失巨大，黑客共盗取约 1000 枚 ETH，案发时价值约 300 万美元。为掩盖资金流向，黑客利用 Tornado Cash 进行混币处理，该服务可打断链上地址之间的直接对应关系，提升交易隐私。此方式被黑客广泛用于规避追查和执法打击。

本次漏洞最早由区块链安全研究员 Togbe 发现，其识别出涉及多种流动质押代币（LSTs）的异常大额交易。受影响协议包括 Yearn、Rocket Pool、Origin 及 Dinero，显示攻击团队针对整个流动质押生态进行协同攻击。此次预警虽提升了社区警觉，但未能阻止事件发生。

yETH 事件让 DeFi 安全性成为焦点

本次攻击技术手段复杂，黑客针对智能合约设计中的漏洞进行利用。事件涉及多个为本次攻击新部署的智能合约，这些合约在实施恶意交易后立即自毁，抹去链上直接证据，严重干扰后续取证。合约自毁是黑客常用的隐蔽手段之一，极大提升调查难度。

具体财务损失仍在核查中，初步评估显示 yETH 池在被攻击前总价值约 1100 万美元。资金池总额与被盗 300 万美元之间的差异说明部分资产未被全部提取，或部分资金仍被协议机制锁定。完整损失清点需对相关智能合约和流动性池做全面审计。

DeFi 社区对此漏洞反应不一，反映出业界对安全实践的持续争议。部分成员担忧 Yearn Finance 仍沿用旧版智能合约架构，质疑其安全升级是否到位，也有人认为即便是经过审计的代码，也难以完全避免后续暴露的未知风险。

Yearn Finance 也非首次遭遇安全事故。2021 年协议 yDAI 金库曾被黑客攻击，损失 1100 万美元，黑客在漏洞修复前提取约 280 万美元。安全事件多发令外界对协议审计与漏洞管理能力提出质疑。

此外，Yearn Finance 在 2023 年 12 月因脚本错误导致其金库资产的 63% 被意外清零。虽然非恶意攻击，但也显示外部黑客和内部操作失误均可导致重大损失。多起事故推动业界呼吁加强测试、形式化验证智能合约，并完善安全监控。

yETH 漏洞事件突显 DeFi 行业更广泛的挑战。随着协议复杂度和互操作性提升，攻击面不断扩大，带来更多潜在风险。流动质押衍生品虽增强了功能性，但也增加了智能合约交互层级，每个集成点和可组合特性都可能成为新漏洞，需高度重视安全分析。

黑客利用 Tornado Cash 也反映了加密货币领域在监管与执法方面的挑战。混币服务虽有合法隐私需求，但也常被不法分子用于洗钱。这种双重属性加剧了隐私保护与反洗钱监管的矛盾。

未来，事件提醒 DeFi 开发团队必须高度重视安全。协议应优先开展全面安全审计，设立漏洞赏金机制激励白帽黑客发现问题，并保持对新威胁的快速响应能力。DeFi 社区亦需加强安全教育，引导用户了解风险，理性配置资产。

yETH 被盗事件证明，即使是成熟、用户众多的协议也难以完全防范高级攻击。随着 DeFi 生态持续发展，行业需建立更健全的安全体系，提升事件响应协作，增强安全透明度，重塑用户信任，确保去中心化金融的长期健康发展。

常见问题

Yearn Finance yETH 被盗事件有哪些具体细节？

11月30日，Yearn Finance 的 yETH 金库被黑客攻击，约 1000 枚 ETH 被盗（价值约 300 万美元）。黑客随后将 ETH 转入 Tornado Cash 混币服务。

本次攻击被盗资金规模是多少？用户资产是否安全？

本次攻击共造成约 300 万美元 ETH 损失。用户资产依然安全，协议具备完善安全防护和保险机制，可有效保护存款人资金。

为何黑客将被盗 ETH 转入 Tornado Cash？

黑客利用 Tornado Cash 进行混币和混淆，切断交易链路，极大提升追踪难度，从而保护身份并阻碍资金追回。

yETH 是什么，与普通 ETH 有哪些不同？

yETH 是锚定 ETH 的 ERC-20 代币，实现跨链应用并保持 1:1 价值。与原生 ETH 不同，yETH 可跨链转移并集成至多种 DeFi 协议。

本次安全事件对 Yearn Finance 及 DeFi 生态有何影响？

事件直接导致 Yearn Finance 资产损失与声誉受损，也令 DeFi 生态对协议安全和智能合约漏洞更加警惕，可能影响用户对收益耕种平台的信心。

用户如何保障自己在 DeFi 协议中的资金安全？应采取哪些措施？

建议用户选择安全钱包，妥善保管私钥，开启双重认证，核查合约审计报告，分批小额操作，定期检查账户，并分散投资于多个协议。

Yearn Finance 针对此次被盗事件的应对方案及赔偿计划如何？

Yearn Finance 已宣布补偿方案，将对受损用户进行赔偿。协议正通过区块链分析及与执法部门合作积极追回被盗资金，具体赔偿细则将在后续公布。