Yearn Finance 遺留合約漏洞引發 $300K 關注

• 一個已棄用的 iEarn 合約在一次漏洞中損失了 $300K ，被盜資金已兌換成103 ETH，存放於一個已知地址。

• Yearn 確認 v2 Vaults 和活躍合約未受到影響，將影響範圍限制在 Vaults 之前部署的過時系統。

• 此事件凸顯了傳統 DeFi 的風險，因為 Yearn 正在探索治理變革，以提升收益分配和問責制。

Yearn Finance 遭遇了一次嚴重事件，一個傳統的 iEarn 合約遭受漏洞，導致約30萬美元的損失。PeckShieldAlert 報告稱，攻擊者將被盜資金兌換成了103 ETH，現存放於一個已知地址。

問題集中在 iEarn 不可變的 TUSD 合約，該合約部署於超過2100天前，早於 Yearn Vaults 的建立。重要的是，Yearn 已確認目前的 v2 Vaults 和活躍合約未受到影響。

根據 Yearn 的說法，這次漏洞僅影響過時的 iEarn 合約。此問題類似於2023年影響類似傳統合約的 USDT 黑客事件。“我們正在調查一個與 iearn 有關的問題，這是一個在 Vaults v1 和 v2 之前的過時合約。這個問題似乎只影響 iearn，並不影響目前的 Yearn 合約或協議，”團隊表示。

該漏洞在多個版本中持續存在，導致多個 Curve 池（包括 y、BUSD 和 PAX）被耗盡。因此，使用這些池的下游協議中的流動性提供者面臨損失，儘管活躍的 Vault 用戶仍然安全。

對傳統系統和流動性提供者的影響

此漏洞突顯了過時的 DeFi 合約所帶來的風險。像 iEarn 這樣於2020年棄用的傳統系統仍持有剩餘價值，讓長期持有者面臨潛在損失。此外，此事件也彰顯了合約升級和治理監督的重要性。將 LP 代幣存入受影響協議的用戶仍面臨風險，顯示漏洞可能在相互連結的 DeFi 平台中擴散。

Yearn 正在解決此問題，同時考慮進行治理改革。一個由化名貢獻者 0xPickles 提出的提案，旨在重構協議，圍繞收益產生、貢獻者問責和與 YFI 代幣持有者的直接價值分享。

“這個提案創造了一個新的協議。未來90%的收益將分配給 stYFI 持有者，賦予他們權力，”Pickles 表示。目前，根據 DefiLlama 的數據，Yearn 的月利潤約為 20 萬美元。

DeFi 成長中的機會

這一治理構想正值 DeFi 今年創下創紀錄的存款和增加的流動性之際。Yearn 的存款在2021年12月達到約 $7 億美元的高點，視此為反彈的契機。

提議的收益模型有助於促進利益相關者的協調與長期可持續性。此外，將盈利和責任放在首位，可能會改善協議並提升 YFI 代幣的價值。