老牌DeFi协议Yearn Finance持续成为黑客攻击的目标,近期遭遇的一次攻击造成约30万镁的损失,进一步引发了人们对长期运行的区块链项目中遗留的过时代码可能带来的安全风险的担忧。初步报告显示,此次事件并非源于项目本身,而是源于一个非常古老的智能合约。该合约于次上线,当时项目仍以iearn的名称运营——iearn是如今Yearn Finance的前身。
值得注意的是,Yearn团队确认该协议的所有现有金库均未受到影响,这意味着用户在 Yearn 核心产品中存入的资产仍然安全。然而,攻击者利用旧合约中的一个漏洞提取了资金,并迅速将窃取的资产兑换成 103 个姨太,这表明攻击者在隐藏链上资金流动方面展现出了极高的技巧和速度。
此次背景发生不到一个月前,Yearn Finance 的 yETH 资金池也遭遇了一次严重的攻击,造成约 900 万镁的损失。尽管项目团队与多方合作追踪并追回了资产,但迄今为止仅追回了约 240 万镁,不到总损失的三分之一。链事件引发了 DeFi社群对早期合约中可能存在的“定时炸弹”的质疑。这些早期合约是在市场发展初期,安全标准和审计流程远不如现在完善时制定的。
