Edgen Crypto·Nov 30 2025, 22:54攻击者利用Yearn Finance的yETH(一种流动性质押衍生品)中的漏洞,随后通过Tornado Cash混合器洗白了约300万美元的以太坊。此次事件凸显了去中心化金融(DeFi)领域的安全漏洞,特别是日益流行的流动性质押代币(LSTs)的系统性风险。
Yearn Finance的yETH(其流动性质押生态系统中的衍生品)显然遭受攻击,导致约300万美元的以太坊(ETH)被盗。恶意行为者随后将全部资金转移到Tornado Cash,这是一种去中心化的加密货币混合服务,以掩盖资产的非法来源。此次事件凸显了去中心化金融(DeFi)领域面临的持续安全挑战,并重新聚焦于与流动性质押代币(LSTs)相关的系统性风险,LSTs已成为众多协议的基础抵押品。
安全事件以攻击Yearn Finance的流动性质押代币yETH的漏洞为始。在入侵之后,链上数据证实,价值约300万美元的被盗资产已转移至Tornado Cash。转移分批执行,这是黑客用来使跟踪复杂化的一种常见策略。使用Tornado Cash是一种蓄意的洗钱技术,旨在打破攻击者钱包与初始漏洞利用之间的可追溯链接,使得资金追回异常困难。
此次漏洞利用集中在流动性质押代币(LSTs)上,LSTs是代表质押加密货币债权的金融工具。在此案例中,yETH代表通过Yearn Finance协议质押的ETH。LSTs允许投资者在保留流动性的同时获得质押奖励,使他们能够将这些代币部署为其他DeFi应用(例如借贷市场)中的抵押品。
这些工具的系统重要性不容小觑。数据显示,主要的LSTs,如Lido的stETH,在DeFi生态系统中占有相当一部分抵押品,在Aave V2等平台上约占存款的33%,并在DeFi借贷市场中构成95亿美元的抵押品。然而,它们的可组合性——即在多个协议中使用的能力——也扩大了潜在的攻击面。正如Yearn事件所见,漏洞可能源于不同智能合约之间复杂的交互。
此次漏洞利用的直接影响是对投资者对Yearn Finance的信心以及其相关产品安全性的打击。此类事件通常会引发对协议安全审计和风险管理程序的更严格审查。对于更广泛的市场而言,它提醒人们DeFi领域固有的风险,特别是对于较新或更复杂的衍生品。此次事件可能导致“避险”,用户将资产整合到更大、更成熟的、被认为具有更强大安全性的LST协议中,例如Lido。此外,它强调了像Tornado Cash这样的混合器在基于加密货币的非法金融经济中继续发挥的核心作用,这是监管机构和开发者仍在努力解决的挑战。
此次攻击并非孤立事件,而是DeFi领域更广泛漏洞模式的一部分。核心的以太坊区块链本身仍然安全;漏洞在于应用层——即创建这些复杂金融产品的智能合约。yETH事件符合与LSTs相关的更广泛风险叙事,这些风险包括智能合约错误、与少数节点运营商相关的中心化风险以及协议治理漏洞。虽然流动性质押为资本效率带来了明显的好处,但其快速整合到DeFi结构中意味着单一故障点可能对整个生态系统产生连锁反应,从而强化了对严格安全实践和风险分散的需求。