Yearn Finance 9百萬美元yETH竊案：DeFi最新驚悚事件

Yearn Finance，這個DeFi叢林中的老將，再次遭受重擊。

受害者？yETH，一款將各種質押Ethereum整合成一個整齊包裝的Yearn產品。

想像一下，一個宇宙級的水果籃突然被神秘的加密貨幣盜賊洗劫一空。

1,000 ETH流入Tornado Cash

這場劫案？約900萬美元從yETH stableswap池及其小型夥伴yETH-WETH池（在Curve上）消失無蹤。

駭客手法老練，利用了一個所謂的「低層級數值漏洞」和「高層級不變量管理問題」（沒錯，這就是加密專家的術語，意思是「我們搞砸了」）。

在一個本該平靜的週日，有人鑄造了無限量的yETH代幣，將其兌換成真實的ETH和質押代幣，然後帶著現金獎勵溜走，約1,000 ETH被轉入Tornado Cash，這是DeFi世界的煙霧彈。

在11月30日21:11 UTC，yETH stableswap池發生了一起事件，導致大量yETH被鑄造。受影響的合約是流行stableswap代碼的自定義版本，與其他Yearn產品無關。Yearn V2/V3 vaults不受影響。

— yearn (@yearnfi) December 1, 2025

自毀的智能合約

Yearn的回應迅速且帶有一絲英雄氣概。與Plume和Dinero聯手，他們追回了857.49 pxETH，約240萬美元，從深淵中搶回了一部分贓款。

這個過程極為複雜，Yearn在晚間通報中形容為「高度複雜」，堪比近期Balancer駭客事件的膽大妄為。

這名惡棍是如何得手的？詭計涉及一種聰明的智能合約，完成骯髒工作後自我毀滅，抹去所有位元碼痕跡，但仍在區塊鏈上留下蛛絲馬跡，供敏銳的分析師追蹤。

這些合約鑄造假yETH代幣，抽乾資金池，然後如數位黑夜中的幽靈船般消失無蹤。

即使是管理數十億的資深協議也並非無敵

Yearn的官方說法？這次混亂是孤立事件，只有yETH的自定義代碼受到影響。

截至撰寫時，Yearn Vaults仍持有5.7億美元，未受此次事件波及。但可以肯定的是，這並非Yearn首次遭遇危機。

自2021年以來，他們就屢遭攻擊，包括yDAI vault駭客事件損失1,100萬美元，以及2023年針對老舊yUSDT合約的攻擊。

如同歷經滄桑的牛仔，Yearn屢遭槍擊卻始終不肯退場。

對於DeFi愛好者來說，這次事件敲響了警鐘——即使是管理數十億的資深協議也並非無敵。

yETH漏洞結合了智能合約的特殊性與狡猾駭客，展現了去中心化金融安全如走鋼索般的危險。