YO Protocol 驚傳嚴重換幣失誤:價值約 384 萬美元的 stkGHO 在一次資產再平衡操作中,意外透過 Uniswap v4 極端池子兌換,僅換得約 12.2 萬美元 USDC,瞬間蒸發近 370 萬美元。
(前情提要:
TrueBit 協議疑似遭駭客攻擊!8,535 枚以太坊被異常轉出,$TRU 瞬間腰斬
)
(背景補充:
北韓駭客 2025 年盜竊創紀錄:竊取 20.2 億美元加密貨幣,洗錢周期約 45 天
)
本文目錄
區 塊鏈安全公司 BlockSec 最新發文披露,DeFi 協議 YO Protocol 於 2026 年 1 月 13 日發生了一起嚴重的異常換幣事件。這並非傳統意義上的智能合約漏洞或駭客攻擊事件,而是操作過程中出現的嚴重失誤,導致價值約 384 萬美元的 stkGHO(Aave 質押的 GHO 代幣)在兌換 USDC 的過程中,僅成功換得約 12.2 萬美元的 USDC,實際損失接近 370 萬美元。
YO protocol ( @yield ) was reported to suffer a bizarre swap on #Ethereum : ~$3.84M stkGHO ended up as only ~$122K USDC. The team has taken actions including buying GHO and re-depositing stkGHO into the vault.
Our investigation suggests the discrepancy may have resulted from two… pic.twitter.com/ttbZwv5zEt
— BlockSec Phalcon (@Phalcon_xyz) January 13, 2026
事件經過
根據 BlockSec 等多家安全團隊的鏈上分析,事件起源於 YO Protocol 的 Yo Vault 操作者(或自動化 keeper)執行的一筆大額資產再平衡操作:將約 384 萬美元的 stkGHO 兌換成 USDC。這筆交易原本應透過聚合器尋找最佳路由,但卻被導向 Uniswap v4 的一個流動性極度稀薄、費用極高(或使用了自訂 hook)的池子。
由於路由選擇異常,加上發起者可能設定了過高的滑點容忍度(甚至完全未設防護),造成極端價格衝擊與巨額費用被抽取。最終,大部分價值被該 Uniswap v4 池子的流動性提供者(LP)捕獲,僅剩約 11.2 萬~12.2 萬美元的 USDC 回到協議手中。
YO Protocol 團隊的快速反應
事件發生後,YO Protocol 團隊在數小時內完成補救措施:
- 透過帶有 MEV 保護的 CoW Swap 聚合器,回購約 371 萬美元的 GHO。
- 將等值 stkGHO 重新存入 Vault,迅速恢復流動性。
- 短暫暫停 Pendle 上的 YoUSD 市場,待補倉完成後重新開啟。
此外,團隊還在鏈上 留言 ,向捕獲利潤的 LP 提出合作方案:建議 LP 保留 10% 作為漏洞賞金,其餘部分友好歸還,希望以私下方式解決爭議。
事件根本原因總結
這起事件並非 YO Protocol 合約本身存在漏洞,而是典型的營運風險與 Uniswap v4 特性交互放大的結果。主要因素包括:
- 自動化腳本或聚合器路由選擇失誤,誤入極端配置的 v4 池子(窄範圍集中流動性 + 自訂 hook 可能帶來動態高費率或價格操控)。
- 缺乏足夠的防護機制,例如白名單池子、強制滑點上限、價格影響檢查等。
- Uniswap v4 自 2025 年推出以來,其 hook 機制雖帶來高度創新,但也成為「滑點炸彈」的潛在風險點,尤其對大額交易極為危險。
多家安全團隊一致認為,這是一起「操作失誤放大版」事件,而非惡意攻擊,警示 DeFi 協議在自動化大額操作時,必須大幅強化安全閘門。
?相關報導?
看傻眼》魚池創辦人自曝被竊500枚BTC超淡定:駭客慷慨地留10 BTC給我當生活費
Chainalysis報告:北韓駭客2025年盜走20億美元加密資產,Bybit成最大受害者
又一 DeFi 協議遭駭?借貸協議 Moonwell 疑似遭駭客攻擊,損失超過 100 萬美元
