9月14日凌晨,由Yala发行以比特币为抵押的YU稳定币,遭到黑客攻击未遂,损失高达770万美元,YU价格暴跌80%,从1美元锚定跌至0.2,官网紧急关闭兑换入口。
表面看是黑客偷天换日,测试币换真钱,但细究发现,这个漏洞非常低级,攻击还偏偏发生在审计前夕,是黑客太强还是Yala监守自盗?
Yala是什么?它是一个给予BTC的流动性层协议,号称让BTC持有者超额抵押BTC,铸造YU稳定币。简单来说,就是把BTC从保险柜搬到流水线,边持币边赚钱。YU代币设计1:1锚定USDC,锁仓一个月收益高达20%年化收益。
Yala背后的是刘斌与施襄,这哥两有着连续的归零币发币史,有着多次发币经验的发币集团,能这么容易被攻击、稳定币YU脱锚,不会是自导自演彻底Rug做准备吧?引人深思。
9月14日凌晨,Yala协议翻车,YU从1美元崩到0.2美元。黑客套路拆解:
攻击者利用Polygon链YU测试币漏洞,铸造1.2亿未背书的测试币。
这些假币本应该是用来测试环境的测试币,却通过LayerZero跨链桥跨到Solana,被系统认成真币!黑客立马在Solana的YU/USDC池子,1:1兑换USDC,掏空770万美元,并换成1501ETH分散转移至多个钱包逃跑。
链上数据现实,黑客还持有2229万YU在ETH/Solana,9000万YU在Polygon尚未桥接,若继续抛售怕不是会成为下一个Luna。目前ETH链上代币流动性枯竭,仅剩7840美元USDC,虽现在YU价格勉强回升至0.78美元,但1:1锚定遥遥无期。
Yala官方回应:这是一起攻击未遂,问题已确认,正在修复,用户资产安全无忧。但没人买账,池子都空了,还叫未遂?早在7月就有专家向Yala提交过这个问题,项目方不予理睬。真相藏在哪?
这次攻击疑点无不一指向Yala自导自演。团队背景那么硬,咋会犯测试币边真币的低级错误?三大疑点,个个指向内部有鬼:
测试币跨链变真币套现,空手套白狼!Polygon测试环境漏洞被利用,黑客直接砸池子套现。Yala团队号称大厂出身,怎么会忽略这种基础防护。这更像是内部留的后门,方便自己人操作。7月已有人预警团队能力不足,如果不是忽略,那就是有意而为之!
Yala官网挂着与FuzzLand合作审计,号称已发现风险。结果FuzzLand发文打脸:合作还没正式开始,代码是事发前几小时才收到,已审计纯属虚构。这波虚假宣传,大玩文字游戏,这一切都太巧合。这公关游戏玩得太low,很难不阴谋论。
攻击偏偏发生在安全审计前夕!融了800万,月收75万,但17%-20%高收益无透明来源,资金链早有问题。这次可能是借黑客转移资金?官方没有回应,关闭兑换入口却喊资产安全,代码至今不公开,拖延意味浓厚。这波操作,太像是监守自盗后甩锅黑客。
低级的漏洞、审计的乌龙、完美的时机、低质剧本让人怀疑:这真是黑客干的,还是内部自导自演?代码没公开前,所有疑点都指向了项目方。
Yala事件不是孤例,而是BTCFI与稳定币赛道的警钟。Lombard与Falcon公开撇清,称Yala并非正统,暴露赛道乱象。从BTC生态来的River收益高达40%,Falcon更被预警为下一个Luna,抵押机制复杂,随时可能崩盘。
收益若无透明收益来源,多半是羊毛出在羊身上,用户本金买单。比如之前币安的USDC高达16.8%理财是Circle官方额外给的补贴;孙割的USDD高达20%的收益,是孙哥通过HTX与波场自掏腰包的收益;如果不说明白高收益,那就要当心了。
在BTCFI这个赛道,安全和信任依旧是所有协议需要翻越的大山。
Yala这次被盗疑点重重,自导自演的影子挥之不去。目前,Yala官方承诺全额补偿、1:1保障资金,但代码未公开,拿什么信任。BTCFI的理想很丰满,但现实很残酷。币圈里,这个项目那个项目,没有安全啥也不是,安全和信任是重中之重。
如果您在使用加密货币过程中遇到安全问题,或希望了解更多防范措施,欢迎关注我们的公众号联系我们,与我们一起构建更安全的区块链生态。
如果你有困扰和疑问,或不小心卷入这类事件
👇👇👇
也可以添加小助手微信号
如果你担心钱包安全
可以关注我们公众号
进行免费的安全检测
监测潜在风险,防止资产被盗
