黑客利用跨链漏洞盗取770万美元并超额铸造1.2亿枚代币,导致该稳定币协议遭遇严重信任危机。
该事件成为近几个月来最严重的稳定币崩盘案例之一。YU代币仅部分回升至0.78美元附近,远低于其1美元的锚定目标。这给这个新生协议带来巨大压力——就在数月前,该项目刚从Polychain Capital等主要投资方处筹集800万美元。
攻击手法解析
攻击者采用多步骤复杂操作抽走Yala资金。区块链分析公司Lookonchain数据显示,黑客首先在Polygon网络上未经授权铸造了1.2亿枚YU代币。
随后攻击者将771万枚代币跨链转移至以太坊和Solana网络,兑换成770万枚USDC稳定币。这些USDC被迅速转换为1,501枚ETH,并分散至多个钱包以增加追踪难度。
攻击者当前仍控制着以太坊和Solana链上2,229万枚YU代币,以及Polygon链上9,000万枚YU代币,这意味着其可能进一步抛售代币加剧价格下跌。
Yala的应急响应
联合创始人Vicky Fu确认遭遇攻击,表示团队正与安全公司SlowMist和Fuzzland合作排查漏洞。协议已立即禁用Convert和Bridge功能防止损失扩大。
来源:@yalaorg
团队在X平台声明:"所有资金安全无虞。用户存入的比特币仍保持自托管或存放于金库,无一损失。"强调尽管YU稳定币脱锚,用户持有的比特币依然安全。
协议已暂停关键功能进行安全修复,目前仅保留基础功能维持运行。
流动性危机雪上加霜
YU面临严峻流动性困境。官方数据显示,当前以太坊链上可交易的USDC流动性池仅剩78.4万美元,微薄的流动性使稳定币难以快速恢复1美元锚定。
虽然宣称市值达1.19亿美元,但实际流动性揭示出巨大反差。纸面价值与真实交易能力的鸿沟,暴露出小型稳定币在遭遇攻击时的脆弱性。
大额持币者面临抛售困境——市场缺乏足够买盘支撑,任何大额卖出都会导致价格剧烈下挫。
YU的独特机制
YU采用比特币超额抵押模式运作。用户存入比特币作为抵押物铸造YU代币,在保留比特币所有权的同时获得DeFi流动性。
这与USDT、USDC等由现金/国债支撑的传统稳定币不同。YU的比特币背书本应提供自托管和无清算风险等优势。
该协议旨在释放比特币的DeFi价值而不迫使用户出售持仓,让持有者在维持比特币敞口的同时获取收益。
行业影响分析
YU事件凸显稳定币领域持续存在的安全隐患。即便是老牌稳定币也难逃厄运,例如2023年Tether就因交易池失衡短暂脱锚。
相较于USDT(1,700亿美元)和USDC(730亿美元)等巨头,YU的微小体量使其更易成为攻击目标。小型协议往往缺乏大平台的资源与安防体系。
事件发生时正值稳定币总市值逼近3,000亿美元关口。机构采用率提升使得安全事件对市场信心的打击更为严重。
类似Yala遭遇的跨链攻击正日益猖獗,黑客瞄准连接不同区块链的复杂桥接系统,这些新型攻击面是传统单链协议不曾面临的。
重建之路
Yala面临三重挑战:修复安全漏洞、重建交易流动性、重塑用户信心。团队尚未给出全面恢复运营的时间表,YU持有者目前只能持有远低于锚定价值的代币。
此次攻击再次警示:尽管DeFi承诺创新与金融自由,其风险依然不可小觑。用户在投入大额资金前,必须审慎评估新兴协议的安全性与流动性。