# Một giao thức DeFi đã được thiết lập khác đã bị tấn công. Yearn đã mất 1.000 ETH. Liệu DeFi có hoàn toàn không thể sử dụng được nữa không?
YFI
$3,005
2.72%
42 quan điểm từ KOL
loading indicator
Loading..
Phân tích sâu
67
17
Bình luận
Phân tích sâu
Được hỗ trợ bởi Asksurf.ai

Phân tích sự cố tấn công nhóm LST yETH của Yearn Finance

Tóm lại

Vào lúc 21:11 UTC ngày 30 tháng 11 năm 2025, sản phẩm LST yETH của Yearn Finance đã bị tấn công lỗ hổng phát hành không giới hạn. Kẻ tấn công đúc khoảng 235 nghìn tỷ token yETH và rút khoảng 2,8 triệu đô la tài sản ETH và LST khỏi nhóm thanh khoản Balancer liên quan, sau đó rửa tiền thông qua Tornado Cash. Các kho lưu trữ chính của Yearn (V2/V3) không bị ảnh hưởng, nhưng sự cố này đã phơi bày rủi ro bảo mật trong các triển khai LST truyền thống.

Phân tích cốt lõi

Chi tiết và cơ chế tấn công

Dòng thời gian tấn công :

  • Thời gian tấn công : 30 tháng 11 năm 2025, 21:11 UTC theblock.co
  • Loại lỗ hổng : Lỗ hổng phát hành không giới hạn trong hợp đồng token yETH (beincrypto.com)
  • Quy mô tấn công : Một giao dịch duy nhất đúc khoảng 235 nghìn tỷ token. (beincrypto.com )

Chi tiết kỹ thuật :

  • Những kẻ tấn công đã triển khai một hợp đồng thứ cấp vài phút trước khi tấn công, hợp đồng này tự hủy ngay sau đó để che giấu dấu vết .
  • Sử dụng token yETH giả đúc để đổi lấy tài sản thực, bao gồm ETH và nhiều LST khác nhau (Rocket Pool, Origin, Dinero, v.v.), trong các nhóm Balancer . (beincrypto.com )
  • Cảnh báo Nansen xác nhận vấn đề phát hành không giới hạn trong hợp đồng yETH (beincrypto.com)

Đánh giá tổn thất

chỉ báo Số lượng tình trạng
Tổng ước tính thiệt hại 2,8-3 triệu đô la Đã xác nhận
Chuyển sang Tornado Cash 1.000 ETH (khoảng 3 triệu đô la) Rửa tiền
Hồ bơi bị ảnh hưởng Nhóm cân bằng LST yETH Kiệt sức
Kho tiền chính Yearn TVL 600 triệu đô la Không bị ảnh hưởng

Dòng tiền :

  • Những kẻ tấn công đã chuyển đổi số tài sản bị đánh cắp thành khoảng 1.000 ETH.
  • Nhiều lần chuyển tiền, mỗi đợt 100 ETH, đã được thực hiện vào máy trộn Tornado Cash theblock.co
  • Quá trình rửa tiền đã hoàn tất trước 22:00 UTC.

Phân tích phản hồi chính thức

Báo cáo tài chính Yearn :

  • Lỗ hổng bảo mật đã được xác nhận chỉ giới hạn ở hợp đồng token yETH truyền thống; kho lưu trữ V2/V3 không bị ảnh hưởng. (beincrypto.com )
  • Nhấn mạnh rằng TVL cốt lõi (trên 600 triệu đô la) vẫn ổn định , beincrypto.com
  • Một cuộc điều tra đang được tiến hành và báo cáo phân tích chính thức sau sự cố vẫn chưa được công bố . beincrypto.com

Phản ứng của thị trường :

  • giá token tăng vọt từ 4.080 đô la lên 4.160 đô la trong vòng một giờ sau sự kiện, chủ yếu là do bán đầu cơ giá xuống chứ không phải do hoảng loạn.
  • Tổng TVL của thỏa thuận vẫn ổn định, thể hiện sự tin tưởng của thị trường vào cơ sở hạ tầng cốt lõi.

Phân tích tâm lý cộng đồng

Phản ứng hạn chế của cộng đồng :

  • Tính đến ngày 1 tháng 12 năm 2025 theo giờ UTC, không có cuộc thảo luận cộng đồng lượng lớn và mức độ tương tác cao được tìm thấy.
  • Thông tin liên lạc chính thức nhấn mạnh việc cô lập sự cố, nhằm mục đích duy trì niềm tin vào cơ sở hạ tầng cốt lõi của beincrypto.com.
  • Việc thiếu sự chỉ trích rộng rãi từ cộng đồng cho thấy không có dấu hiệu ngay lập tức của cuộc khủng hoảng lòng tin.

Chủ đề tường thuật rủi ro :

  • Cuộc thảo luận tập trung vào những điểm yếu trong thiết kế LST AMM, chẳng hạn như rủi ro phát hành không giới hạn trong các nhóm thanh khoản .
  • Sự cần thiết của kiểm toán hợp đồng chặt chẽ trong các sản phẩm tối ưu hóa lợi nhuận được nhấn mạnh tại beincrypto.com.

Đánh giá rủi ro ngắn hạn

Rủi ro công nghệ

Các vấn đề về bảo mật hợp đồng :

  • Các sản phẩm yETH đã phát hiện ra những lỗ hổng nghiêm trọng trong việc triển khai LST truyền thống.
  • Lỗ hổng phát hành không giới hạn cho thấy cơ chế đúc thiếu các biện pháp kiểm tra bảo mật phù hợp.
  • Cần phải kiểm toán toàn diện các hợp đồng truyền thống tương tự.

Rủi ro thanh khoản khoản :

  • Thanh khoản trong nhóm Balancer liên quan đến yETH đã bị rút hết.
  • Chức năng của sản phẩm yETH có thể bị hạn chế trong thời gian ngắn.
  • Người dùng có thể gặp khó khăn khi thoát khỏi nền tảng hoặc gặp phải cú sốc về giá.

Rủi ro về danh tiếng và lòng tin

Ở cấp độ thỏa thuận :

  • Mặc dù kho lưu trữ cốt lõi không bị ảnh hưởng, cuộc tấn công có thể tác động đến niềm tin chung vào tính bảo mật của Yearn.
  • Các lỗ hổng trong các sản phẩm truyền thống có thể gây ra sự giám sát đối với các sản phẩm Yearn khác.
  • Cần có phân tích minh bạch sau sự cố và các biện pháp khắc phục để khôi phục lòng tin.

Rủi ro hệ sinh thái LST :

  • Sự cố này làm nổi bật rủi ro mang tính hệ thống trong thiết kế bể bơi LST.
  • Điều này có thể làm nảy sinh câu hỏi về tính bảo mật của các giao thức LST khác.
  • Sự chú ý của cơ quan quản lý có thể tăng lên do các hoạt động rửa tiền.

Rủi ro ro tác động thị trường

Động thái thị trường ngắn hạn :

  • Sự tăng bất thường của giá YFI cho thấy phản ứng phức tạp của thị trường.
  • Có thể có dòng vốn chảy ra ngắn hạn từ các sản phẩm Yearn.
  • Các đối thủ cạnh tranh có thể sử dụng sự kiện này để giành thị thị phần .

kết luận

Mặc dù cuộc tấn công vào nhóm LST yETH của Yearn Finance có quy mô tương đối nhỏ (khoảng 2,8 triệu đô la), nhưng nó đã phơi bày lỗ hổng bảo mật đáng kể trong các triển khai LST truyền thống. Các yếu tố rủi ro chính bao gồm mức độ nghiêm trọng về mặt kỹ thuật của lỗ hổng phát hành không giới hạn, hoạt động rửa tiền nhanh chóng thông qua Tornado Cash, và tác động tiềm ẩn đến bảo mật của toàn bộ hệ sinh thái LST. Mặc dù cơ sở hạ tầng cốt lõi của Yearn không bị ảnh hưởng, người dùng nên theo dõi chặt chẽ các bản cập nhật chính thức và các nỗ lực khắc phục trong ngắn hạn, đồng thời đánh giá các rủi ro tương tự cho các sản phẩm LST khác.

Tìm hiểu thêm từ Surf