Yearn Finance 遗产合同漏洞提升 $300K 关注点

• 一个已弃用的 iEarn 合约在一次漏洞中损失了 $300K ，被盗资金已被兑换成103 ETH，存放在一个已知地址。

• Yearn 确认 v2 Vaults 和活跃合约未受到影响，影响范围仅限于在 Vaults 之前部署的过时系统。

• 该事件凸显了传统 DeFi 的风险，Yearn 正在探索治理变革，以提升收益分配和问责制。

Yearn Finance 遭遇了一次关键事件，一份遗留的 iEarn 合约遭到攻击，导致约30万美元的损失。PeckShieldAlert 报告称，攻击者将被盗资金兑换成了103 ETH，目前存放在一个已知地址。

问题集中在 iEarn 的不可变 TUSD 合约上，该合约部署已超过2100天，早于 Yearn Vaults 的创建。值得注意的是，Yearn 确认当前的 v2 Vaults 和活跃合约未受到影响。

据 Yearn 表示，此次漏洞仅影响过时的 iEarn 合约。此问题类似于2023年影响类似遗留合约的 USDT 黑客事件。“我们正在调查一个关于 iearn 的问题，这是一个在 Vaults v1 和 v2 之前的过时合约。这个问题似乎只影响 iearn，不会影响当前的 Yearn 合约或协议，”团队表示。

该漏洞在多个版本中持续存在，导致多个 Curve 池被 draining，包括 y、BUSD 和 PAX。因此，使用这些池的下游协议中的流动性提供者面临损失，尽管活跃的 Vault 用户仍然安全。

对遗留系统和流动性提供者的影响

此次漏洞突显了过时 DeFi 合约的风险。像 iEarn 这样的遗留系统，早在2020年就已弃用，仍然持有剩余价值，暴露出长期持有者潜在的损失风险。此外，此事件也强调了合约升级和治理监管的重要性。向受影响协议存入 LP 代币的用户仍面临风险，显示漏洞可能通过相互连接的 DeFi 平台扩散。

Yearn 正在解决这一问题，同时考虑进行治理改革。一个由化名贡献者 0xPickles 提出的提案，旨在围绕收益生成、贡献者问责和与 YFI 代币持有者的直接价值分享，重构协议。

“这个提案创造了一份新协议。未来90%的收益将归 stYFI 持有者所有，赋予他们权力，”Pickles 表示。目前，根据 DefiLlama 的数据，Yearn 的月利润约为20万美元。

DeFi 增长中的机遇

这一治理构想正值 DeFi 今年创纪录的存款和流动性增加之际。Yearn 的存款在2021年12月达到约$7 十亿的峰值，视此为反弹的机会。

提议的收益模型有助于促进利益相关者的协调和长期可持续性。此外，将盈利能力和责任放在首位，可能会改善协议并提升 YFI 代币的价值。