Giao thức canh tác lợi suất Yearn Finance đã xác nhận một vụ tấn công trên sản phẩm yETH vào ngày 30 tháng 11 năm 2025, nơi một kẻ tấn công đã đúc một nguồn cung yETH token không giới hạn và rút khoảng $3 triệu tài sản từ các nhóm thanh khoản kết nối. Các quỹ bị đánh cắp, có giá trị khoảng 1.000 ETH, sau đó đã được rửa tiền thông qua máy trộn riêng tư Tornado Cash, theo phân tích on-chain.
Chi tiết sự cố
Cuộc tấn công nhắm vào một phiên bản cũ của nhóm thanh khoản yETH stableswap trên Balancer, cho phép kẻ tấn công tạo ra một số lượng yETH token gần như vô hạn trong một giao dịch duy nhất. Điều này đã cho phép kẻ tấn công rút ra tài sản thực, bao gồm ETH và các sản phẩm staking thanh khoản phổ biến, để lại một lỗ hổng khoảng 2,8 triệu đô la trong nhóm. Yearn Finance đã báo cáo sự cố trên X, cho biết: “Chúng tôi đang điều tra một sự cố liên quan đến nhóm thanh khoản yETH LST stableswap. Yearn Vaults ( cả V2 và V3) không bị ảnh hưởng.”
Các trình khám phá blockchain cho thấy lỗ hổng liên quan đến các hợp đồng thông minh mới được triển khai đã tự hủy sau khi thực hiện, khiến cho dấu vết trở nên khó khăn hơn. Kẻ tấn công sau đó đã phân mảnh 1,000 ETH thành các lô nhỏ hơn và chuyển chúng qua Tornado Cash, một giao thức bị trừng phạt nổi tiếng với việc làm mờ lịch sử giao dịch.
Phản hồi và Phạm vi của Yearn
Yearn nhấn mạnh rằng lỗ hổng này chỉ liên quan đến một hợp đồng yETH thử nghiệm và không ảnh hưởng đến các Vault V2 hoặc V3 cốt lõi của nó, quản lý hơn $500 triệu tài sản. Giao thức duy trì chương trình thưởng lỗi trực tiếp với phần thưởng lên đến $200,000 cho những phát hiện quan trọng, mặc dù không có lộ trình phục hồi ngay lập tức nào được công bố. Một báo cáo chi tiết sẽ được công bố khi đội ngũ tiếp tục điều tra.
Các công ty an ninh theo dõi sự kiện, bao gồm các kiểm toán viên xem xét các sản phẩm di sản của Yearn, đã quy kết lỗ hổng này cho một điểm yếu đúc lâu dài trong logic token yETH chứ không phải do một lỗi trong kiến trúc kho hiện tại.
Bối cảnh rộng hơn trong bảo mật DeFi
Lỗ hổng này là một phần của một tháng đầy thử thách cho DeFi, nơi mà lĩnh vực này đã mất khoảng $127 triệu do các vụ tấn công, lừa đảo và lỗ hổng vào tháng 11 năm 2025, theo dữ liệu từ CertiK. Nó nhấn mạnh những rủi ro liên tục trong các triển khai hợp đồng thông minh cũ, ngay cả đối với các giao thức đã được thiết lập như Yearn, và tầm quan trọng của việc loại bỏ mã nguồn cũ.
Sự giao tiếp minh bạch của Yearn và việc cách ly vấn đề đã được cộng đồng khen ngợi, ngăn chặn một thảm họa quy mô lớn hơn. Sự cố này như một lời nhắc nhở cho người dùng theo dõi các cập nhật của giao thức và tránh các sản phẩm thử nghiệm có lỗ hổng chưa được vá.
Tóm lại, vụ khai thác Yearn yETH đã rút cạn $3 triệu đô la tài sản, với kẻ tấn công đúc token không giới hạn và rửa tiền thông qua Tornado Cash. Yearn xác nhận vấn đề chỉ xảy ra ở một hợp đồng cũ, không ảnh hưởng đến các kho chứa cốt lõi, và đang điều tra thêm trong khi duy trì chương trình thưởng lỗi của mình.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
ETH giảm 0,81% trong 15 phút: dòng vốn ETF liên tục rút ròng và áp lực bán tập trung từ các tài khoản cá voi gây áp lực ngắn hạn
2026-03-26 15:00 đến 15:15 (UTC), lợi suất của ETH trong 15 phút là -0,81%, phạm vi giá dao động từ 2058,1 đến 2076,69 USDT, biên độ dao động 0,90%. Thị trường biến động mạnh hơn, xuất hiện xu hướng giảm nhanh trong thời gian ngắn, các nhà đầu tư chính quan tâm đặc biệt đến dòng chảy vốn ra và sự thay đổi thanh khoản thị trường.
Động lực chính của sự biến động này là dòng chảy ròng lớn liên tục trong nhiều ngày của ETF hợp đồng ETH giao ngay, ngày 26-03-2026 dòng chảy ròng trong ngày vượt quá 40 triệu USD, tổng dòng chảy ròng của ETF đã vượt quá 234 triệu USD, trực tiếp thúc đẩy
GateNews3phút trước
Trong 24 giờ qua, toàn mạng đã có 253 triệu USD bị thanh lý, trong đó hơn 80% là các lệnh mua bị thanh lý.
Trong 24 giờ qua, tổng số tiền bị thanh lý trong thị trường tiền điện tử đạt 253 triệu USD, trong đó hơn 80% là các lệnh mua dài hạn. BTC và ETH lần lượt bị thanh lý với số tiền 68,879,600 USD và 87,890,800 USD, tổng cộng có 90,432 người bị thanh lý, khoản thanh lý lớn nhất là 9,315,500 USD.
GateNews4phút trước
Biến động lớn – Cá mập Hyperliquid bị thanh lý 125.000 USD trong bối cảnh vị thế mua ETH trị giá 5,59 triệu USD
Tài chính phi tập trung đã giúp các nhà giao dịch thành công đáng kể với giao dịch đòn bẩy cao; do đó, một nhà giao dịch có thể chịu đựng được biến động rủi ro cao có thể hưởng lợi đáng kể từ các giao dịch có rủi ro/lợi nhuận cao hiện nay. Việc thanh lý nhà giao dịch có thể ảnh hưởng đáng kể đến thị trường.
BlockChainReporter15phút trước
Tiền điện tử tiếp theo bùng nổ: ETH nâng cao bảo mật với mạng mới trong khi SUI hướng tới 1 đô la trong quá trình phục hồi, nhưng các nhà giao dịch đẩy mạnh tham gia DeepSnitch AI khi thông báo ra mắt thúc đẩy cuộc thảo luận về khả năng tăng 500 lần
Một trung tâm tài nguyên mới đã được ra mắt bởi nhóm các nhà phát triển Ethereum nhằm bảo vệ mạng lưới Ethereum khỏi các cuộc tấn công bằng máy tính lượng tử trong tương lai.
Tuy nhiên, các nhà đầu tư vẫn đang chờ đợi một dự án có tiềm năng trở thành đồng tiền điện tử tăng trưởng gấp 100 lần tiếp theo. Cho đến nay, chỉ có DeepSnitch AI (DSNT) đã thể hiện được điều đó.
CaptainAltcoin45phút trước
Một cá mập đã bán khống với đòn bẩy 20 lần, short 577.34 BTC và 19,344.8 ETH
BlockBeats tin tức, ngày 26 tháng 3, theo dõi của Onchain Lens, cá mập 0x049 đã sử dụng đòn bẩy 20 lần để bán khống 577,34 BTC (40 triệu USD) và 19.344,8 ETH (40 triệu USD).
BlockBeatNews59phút trước
