Yearn Finance在11月30日遭遇900万美元诈骗后开始追回资产。

Yearn Finance 已开始追回 11 月 30 日 yETH 稳定币池遭受 900 万美元攻击后被盗的资金。

DeFi 协议宣布已成功追回价值 239 万美元的资产，这些资产将返还给受影响的储户。

据Cryptopolitan，此次漏洞利用发生在 UTC 时间 21:11，目标是定制版的 stableswap 代码。Yearn Finance 已确认其主要的 V2 和 V3 金库产品未受此次事件影响dent用户仍可安全使用。

Yearn Finance通过协调努力追回了239万美元

该协议宣布，通过与Plume和Dinero团队的合作，已追回价值239万美元的857.49个pxETH。Yearn Finance表示，追回工作仍在进行中，任何其他追回的资产都将返还给受影响的存款人。

追回行动在最初的攻击发生后仅数日便展开。由SEAL911和审计合作伙伴ChainSecurity组成的作战室仍在运作，全面的事后调查仍在进行中。安全应对措施包括 trac被盗资产的流向，并努力防止进一步的损失。

yETH 最新消息：在 Plume 和 Dinero 团队的协助下，已协调追回 857.49 pxETH（价值 239 万美元）。追回工作仍在积极进行中。所有成功追回的资产将返还给受影响的存款人。https ://t.co/xaClNhd0C0

— yearn (@yearnfi) 2025年12月1日

900万美元漏洞利用案分析

这两个资金池共损失约900万美元。受影响最大的是稳定币池，损失约800万美元。Curve也遭受损失，其yETH-WETH稳定币池被清空了90万美元。

攻击者利用了一个漏洞，该漏洞可以铸造大量 yETH 代币。根据 Yearn Finance 的初步分析，黑客在未提供必要抵押品的情况下铸造了约 235 万亿 yETH。

攻击者利用膨胀的代币余额，将无担保的 yETH 兑换成 stableswap 池中的 stETH、rETH 和 cbETH 等合法的流动性质押资产，以及 Curve 池中的封装以太 Ethereum 。

遗留池漏洞暴露

该trac是基于一款流行的稳定币兑换代码定制的，并且dent 于 Yearn Finance 的其他产品。协议强调，Yearn 的其他产品均未使用与此次攻击中被泄露的代码类似的代码。

该漏洞涉及与 yETH 代币相关的较旧的遗留trac。这使得攻击者能够在没有必要抵押品支持的情况下铸造新的代币，实际上是凭空创造代币。

Yearn Finance解释说，初步分析表明，此次黑客攻击的复杂程度与近期Balancer漏洞攻击。yETH稳定币池并未连接到Yearn V2和V3主金库基础设施，这有助于隔离此次攻击，从而阻止漏洞扩散到其核心产品。

攻击者通过混音器洗钱

攻击者在攻击发生后的几个小时内就开始转移窃取的资产，以掩盖其踪迹。随后，约1000个以太坊（价值约300万美元）被转移到加密货币混合服务平台Tornado Cash。

截至 12 月 1 日，攻击者钱包地址 0xa80d.c822 中仍存有约 600 万美元的被盗资金。剩余资金主要由尚未洗钱的质押 ETH 衍生品组成。

Yearn Finance团队发布明确声明，表明其金库的核心产品不受此次漏洞攻击的影响。V2和V3金库位于独立的智能trac中，其代码库与受影响的旧版金库的代码库不同。

在 Yearn V2 和 V3 金库中持有资金的用户无需采取任何行动。协议解释说，11 月 30 日发生的dent 仅影响了特定 yETH 稳定币池中的存款人。

11月dent货币安全事件

Yearn Finance 遭黑客攻击事件，为加密货币安全领域艰难的 11 月画上了句号。2025年 11 月，多个知名平台和协议共遭受近 2 亿美元的损失。

本月最大的安全dent是Balancer遭受的1.34亿美元攻击，原因是智能合约逻辑中的舍入误差trac韩国交易所Upbit的热钱包遭到入侵，造成3000万至3800万美元的损失。

11 月份的其他dent包括 GANA Payment 被智能trac收购，损失金额达 310 万美元；以及 Hyperliquid 因价格操纵而损失约 500 万美元。

如果您正在阅读本文，那么您已经领先一步了。请持续关注我们的新闻通讯。