老牌DeFi協議Yearn Finance持續成為黑客攻擊的目標,近期遭遇的一次攻擊造成約30萬鎂的損失,進一步引發了人們對長期運行的區塊鏈項目中遺留的過時代碼可能帶來的安全風險的擔憂。初步報告顯示,此次事件並非源於項目本身,而是源於一個非常古老的智能合約。該合約於次上線,當時項目仍以iearn的名稱運營——iearn是如今Yearn Finance的前身。
值得注意的是,Yearn團隊確認該協議的所有現有金庫均未受到影響,這意味著用戶在 Yearn 核心產品中存入的資產仍然安全。然而,攻擊者利用舊合約中的一個漏洞提取了資金,並迅速將竊取的資產兌換成 103 個姨太,這表明攻擊者在隱藏鏈上資金流動方面展現出了極高的技巧和速度。
此次背景發生不到一個月前,Yearn Finance 的 yETH 資金池也遭遇了一次嚴重的攻擊,造成約 900 萬鎂的損失。儘管項目團隊與多方合作追蹤並追回了資產,但迄今為止僅追回了約 240 萬鎂,不到總損失的三分之一。鏈事件引發了 DeFi社群對早期合約中可能存在的“定時炸彈”的質疑。這些早期合約是在市場發展初期,安全標準和審計流程遠不如現在完善時制定的。
