Edgen Crypto·Nov 30 2025, 22:54攻擊者利用 Yearn Finance 的 yETH(一種流動性質押衍生品)中的漏洞,隨後透過 Tornado Cash 混幣器洗白了約 300 萬美元的以太坊。此次事件凸顯了去中心化金融(DeFi)領域的安全漏洞,特別是日益流行的流動性質押代幣(LSTs)的系統性風險。
Yearn Finance 的 yETH(其流動性質押生態系統中的衍生品)顯然遭受攻擊,導致約 300 萬美元的以太坊(ETH)被盜。惡意行為者隨後將全部資金轉移到 Tornado Cash,這是一種去中心化的加密貨幣混合服務,以掩蓋資產的非法來源。此次事件凸顯了去中心化金融(DeFi)領域面臨的持續安全挑戰,並重新聚焦於與流動性質押代幣(LSTs)相關的系統性風險,LSTs 已成為眾多協議的基礎抵押品。
安全事件以攻擊 Yearn Finance 的流動性質押代幣 yETH 的漏洞為始。在入侵之後,鏈上數據證實,價值約 300 萬美元的被盜資產已轉移至 Tornado Cash。轉移分批執行,這是駭客用來使追蹤複雜化的一種常見策略。使用 Tornado Cash 是一種蓄意的洗錢技術,旨在打破攻擊者錢包與初始漏洞利用之間的追溯性連結,使得資金追回異常困難。
此次漏洞利用集中在流動性質押代幣(LSTs)上,LSTs 是代表質押加密貨幣債權的金融工具。在此案例中,yETH 代表透過 Yearn Finance 協議質押的 ETH。LSTs 允許投資者在保留流動性的同時獲得質押獎勵,使他們能夠將這些代幣部署為其他 DeFi 應用(例如借貸市場)中的抵押品。
這些工具的系統重要性不容小覷。數據顯示,主要的 LSTs,如 Lido 的 stETH,在 DeFi 生態系統中佔有相當一部分抵押品,在 Aave V2 等平台上約佔存款的 33%,並在 DeFi 借貸市場中構成 95 億美元的抵押品。然而,它們的可組合性——即在多個協議中使用的能力——也擴大了潛在的攻擊面。正如 Yearn 事件所見,漏洞可能源於不同智能合約之間複雜的交互。
此次漏洞利用的直接影響是對投資者對 Yearn Finance 的信心以及其相關產品安全性的打擊。此類事件通常會引發對協議安全審計和風險管理程序的更嚴格審查。對於更廣泛的市場而言,它提醒人們 DeFi 領域固有的風險,特別是對於較新或更複雜的衍生品。此次事件可能導致「避險」,用戶將資產整合到更大、更成熟的、被認為具有更強大安全性的 LST 協議中,例如 Lido。此外,它強調了像 Tornado Cash 這樣的混幣器在基於加密貨幣的非法金融經濟中繼續發揮的核心作用,這是監管機構和開發者仍在努力解決的挑戰。
此次攻擊並非孤立事件,而是 DeFi 領域更廣泛漏洞模式的一部分。核心的 以太坊 區塊鏈本身仍然安全;漏洞在於應用層——即創建這些複雜金融產品的智能合約。yETH 事件符合與 LSTs 相關的更廣泛風險敘事,這些風險包括智能合約錯誤、與少數節點運營商相關的中心化風險以及協議治理漏洞。雖然流動性質押為資本效率帶來了明顯的好處,但其快速整合到 DeFi 結構中意味著單一故障點可能對整個生態系統產生連鎖反應,從而強化了對嚴格安全實踐和風險分散的需求。