Goldfinch Finance 用户 deltatiger.eth 通过 Tornado Cash 转账，损失 33 万美元。

据区块链安全平台 PeckShield 称， Ethereum DeFi 平台 Goldfinch Finance 的一名dent用户遭遇了安全漏洞攻击，导致损失约 33 万美元。

PeckShieldAlert 周二在 X 上报道，Goldfinch 用户 deltatiger.eth 的攻击者在入侵 Ethereum上的一个较旧的智能trac后，向 Tornado Cash 发送了约 118 个 ETH。

被泄露的trac（dent为 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43）使犯罪分子能够控制 deltatiger 的钱包并盗取资金。

#PeckShieldAlert @goldfinch_fi的用户 deltatiger.eth @deltatigernz遭到攻击，造成约 33 万美元损失。

黑客已将窃取的资金中的美元（以太币）#Tornado Cash 。

🚨请立即撤销对此合同的批准trac … pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2025年12月2日

该漏洞存在于trac的 collectInterestRepayment() 函数中，该函数可以从任何授权地址转移 USDC。据报道，攻击者存入了 1000 USDC，并在人为抬高股价后反复提取资金。

PeckShield 警告用户立即“撤销合同上的所有批准trac ，以防止黑客继续使用加密货币混合器Tornado Cash窃取更多代币。

截至目前，deltatiger 和 Goldfinch 均未发布任何更新信息，这两个实体也未透露攻击者是否在今天 UTC 时间上午 9:30 左右的漏洞利用事件发生后与他们联系过。

Goldfinch Finance的去中心化借贷模式存在缺陷

Goldfinch Finance 是一个去中心化金融 (DeFi) 协议，得到了包括 a16z Crypto 和 Coinbase Ventures 在内的加密货币行业主要参与者的支持。 

与大多数加密货币借贷平台截然不同，Goldfinch 不要求借款人提供抵押品。借款人只需提交贷款申请，由支持者和审计员审核，如果申请获得足够支持，即可发放贷款。流动性提供者、支持者和审计员均可获得利息作为回报，而借款人则无需提供抵押品即可获得资金。

该协议于2021年2月在 Ethereum 上线，初期发放了价值100万美元的贷款。1.1版本于一个月后的2021年3月发布，几个月后，Goldfinch从Andreessen Horowitz基金筹集了1100万美元资金。2021年10月，该平台与Nexus Mutual达成合作，允许流动性提供者和支持者购买智能trac保险。 

根据 Coingecko 的代币终端显示，Goldfinch 协议的完全稀释市值为 3050 万美元，过去 30 天的代币交易量为 1240 万美元，活跃贷款总额为 9130 万美元。

2023 年，东非摩托车金融公司 Tugende Kenya 拖欠了 500 万美元的加密货币贷款，据称该公司向其位于乌干达的母公司提供了一笔未经授权的贷款，违反了贷款条款。

Warbler Labs是Goldfinch的母公司，该公司发现Tugende Kenya挪用了近200万美元给其母公司。该违规事件于当年12月曝光，但公司记录显示，Goldfinch的治理论坛直到2024年2月才对此进行报告。

另一起违约事件发生在2024年，涉及总部位于新加坡的私人信贷公司Lend East。该公司表示，其从Goldfinch资金池获得的1015万美元贷款中，只能偿还约425万美元。该金额比应偿还金额少了58%，占Goldfinch未偿贷款总额的7.7%。 

Lend East 的这笔资金池期限为 25 个月，将于 2024 年 4 月 3 日到期，提供 17% 的 USDC 年利率或 28% 的浮动 GFI 年利率。Discord 社区成员声称，从 Goldfinch 借入的 75 万美元被用于偿还其他借款人，违反了最初的贷款协议。

12月， DeFi 协议将面临黑客攻击造成的损失。

Goldfinch 遭黑客攻击仅仅 24 小时前，Yearn Finance 的 yETH 项目就遭遇了无限增发漏洞，导致整个 yETH 池在一次交易中被清空。据 Cryptopolitan报道，攻击者生成了近乎无限的 yETH 代币，trac了约 1000 个 ETH，价值 300 万美元，这些代币随后被转移到了 Tornado Cash。

yETH 是一种基于多种 Ethereum (ETH) 流动性质押衍生品（LST）的指数代币。该漏洞由 X 用户 Togbe 发现，他注意到 Yearn、Rocket Pool、Origin 和 Dinero 等 LST 上出现了“大量交易”。

Yearn Finance通过其官方X账号证实了此次dent ，但向用户保证V2和V3金库是安全的。这是自2021年以来发生的第二次攻击事件。2021年，Yearn的yDAI金库遭到入侵，导致280万美元的损失；2023年12月，一个故障脚本导致其国库头寸损失了63%。

区块链安全公司 CertiK 周日发布报告称，加密货币行业在 11 月份因黑客攻击和漏洞利用。该公司发布的月度威胁报告指出，实际受影响的资金超过 1.72 亿美元，但其中约 4500 万美元后来被追回。

加入高级加密交易社区 30 天 - 通常每月 100 美元。