本站报道：

2025年11月，Yearn Finance的yETH产品成为DeFi漏洞的最新受害者。

以以太坊形式消耗了价值 300 万美元的资金。 yETH 的流动性池因一个关键的智能合约漏洞而遭受损失。虽然此次事件仅限于 yETH，但它凸显了一个更广泛的事实：收益聚合策略——尽管承诺提供最优回报——仍然极易受到系统性风险的影响。从无限增发漏洞到不透明的资金管理实践，DeFi 生态系统持续面临着各种漏洞的威胁，这些漏洞不仅危及用户资金，也威胁到去中心化金融本身的信誉。

yETH漏洞：智能合约弱点案例研究

yETH漏洞利用了Yearn旧版本代码中的一个缺陷。

这使得攻击者能够铸造实际上无限量的货币。 攻击者通过单笔交易转移大量 yETH 代币，绕过抵押要求。 挪用真实资产 被盗资金来自资金池，该资金池在事件发生前价值1100万美元（包括以太坊和流动性质押代币）。被盗资金为： 通过 Tornado Cash 洗钱 一个注重隐私的调酒师，进一步加剧了恢复工作的难度。

这次攻击并非个例。Yearn公司此前就曾发生过安全漏洞事件。

其中包括 2021 年的闪电贷漏洞 那项工程耗资1100万美元。 2023年发生的事件 其中一起事件中，一个脚本故障导致其金库某处资产损失了 63%。这些事件凸显了一个反复出现的问题：即使是成熟的 DeFi 协议也容易受到遗留代码缺陷、人为错误和恶意攻击的影响。

收益率聚合中的系统性风险：超越 Yearn

yETH漏洞是DeFi收益聚合领域系统性风险更大模式的一部分。像Stream Finance和Elixir这样的平台，都采用“策展人”模式运营，

2025年崩溃 由于资金管理不透明和过度杠杆。仅Stream Finance一家公司的失败就导致了这一局面。 暴露损失达9300万美元 从而引发一系列涉及 Elixir 等相互关联协议的故障。 欧拉 系统性风险超过 2.85 亿美元。

这些平台依赖外部管理者（通常是未经核实的个人或实体）来管理用户资金。

运营透明度极低 而且没有监管。这与传统的 DeFi 协议不同，例如 艾维 策展人模型使用算法规则来强制执行透明度。 优先考虑高收益承诺 过度规避风险，筑起了一座摇摇欲坠的纸牌屋，最终在市场压力下轰然倒塌。

资本风险管理差距

DeFi 的资本风险管理框架仍然严重不足。收益聚合器通常采用递归借贷、跨链策略和杠杆池来最大化收益，但这些策略会加剧智能合约漏洞和市场波动带来的风险。例如，像

凸金融 Furucombo 虽然很受欢迎，但缺乏防止灾难性失败所需的健全的审计和治理结构。

DeFi领域不稳定因素传播速度极快，这加剧了问题的严重性。抵押品价值骤降引发的抛售潮可能会在相互关联的协议间迅速蔓延，加剧市场低迷。Stream Finance在2025年的崩盘就充分证明了这一点。

其中一场是单个策展人的清算事件 引发了多个平台的连锁损失。

给投资者和开发商的启示

yETH漏洞以及2025年更广泛的DeFi失败案例，为投资者和开发者提供了重要的教训：
1.智能合约审计还不够。:

频繁的审计和实时监控 对于检测遗留代码和新实现中的漏洞至关重要。
2. 透明度高于杠杆作用平台 优先考虑不透明、高杠杆策略 （例如策展人模式）应谨慎对待。
3. 系统性风险缓解DeFi 协议必须采用跨链风险评估和压力测试，以防止级联故障。

对投资者而言，结论很明确：收益聚合并非毫无风险。高回报的诱惑必须与DeFi脆弱的基础设施现实相平衡。正如一位分析师所指出的，“DeFi生态系统仍处于发展初期——每一次安全漏洞都提醒我们，在构建安全、可扩展的金融体系方面，我们还有很长的路要走。”

根据研究 .

结论

Yearn 的 yETH 漏洞是 DeFi 更广泛挑战的一个缩影。尽管收益聚合策略为优化回报提供了创新途径，但也使用户面临尚未被充分理解或缓解的系统性风险。随着行业的成熟，协议必须优先考虑安全性、透明度和稳健的资本风险管理——这不仅是为了生存，更是为了在这个旨在重新定义金融的领域建立信任。