YO Protocol 驚傳嚴重換幣失誤：價值約 384 萬美元的 stkGHO 在一次資產再平衡操作中，意外透過 Uniswap v4 極端池子兌換，僅換得約 12.2 萬美元 USDC，瞬間蒸發近 370 萬美元。
（前情提要：TrueBit 協議疑似遭駭客攻擊！8,535 枚以太坊被異常轉出，$TRU 瞬間腰斬）
（背景補充：北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天）

本文目錄

• 事件經過
• YO Protocol 團隊的快速反應
• 事件根本原因總結

區塊鏈安全公司 BlockSec 最新發文披露，DeFi 協議 YO Protocol 於 2026 年 1 月 13 日發生了一起嚴重的異常換幣事件。這並非傳統意義上的智能合約漏洞或駭客攻擊事件，而是操作過程中出現的嚴重失誤，導致價值約 384 萬美元的 stkGHO（Aave 質押的 GHO 代幣）在兌換 USDC 的過程中，僅成功換得約 12.2 萬美元的 USDC，實際損失接近 370 萬美元。

YO protocol (@yield) was reported to suffer a bizarre swap on #Ethereum: ~$3.84M stkGHO ended up as only ~$122K USDC. The team has taken actions including buying GHO and re-depositing stkGHO into the vault.

Our investigation suggests the discrepancy may have resulted from two… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) January 13, 2026

事件經過

По данным анализа цепочки от команд безопасности, таких как BlockSec, причина инцидента кроется в операции по перераспределению активов, выполненной оператором (или автоматическим keeper-ом) Yo Vault в YO Protocol: обмене примерно 384 миллиона долларов stkGHO (залоговые GHO токены Aave) на USDC. Эта транзакция должна была осуществляться через агрегатор для поиска оптимального маршрута, но была направлена в один из пулов Uniswap v4 с крайне низкой ликвидностью и высокими комиссиями (или с использованием кастомных hook).

Из-за неправильного выбора маршрута, а также возможной установки слишком высокого уровня допустимого проскальзывания (даже без защиты), возникли экстремальные ценовые колебания и крупные издержки. В итоге большая часть стоимости была захвачена провайдерами ликвидности этого пула Uniswap v4, и в руки протокола вернулось лишь около 11.2–12.2 тысяч долларов USDC.

YO Protocol команда быстро отреагировала

После инцидента команда YO Protocol за несколько часов предприняла меры по устранению последствий:

• Используя агрегатор CoW Swap с защитой от MEV, выкупила около 371 миллиона долларов GHO.
• Вновь заложила эквивалентное количество stkGHO в Vault, быстро восстановив ликвидность.
• Временно приостановила рынок YoUSD на Pendle, чтобы завершить корректировку и затем снова открыть его.

Кроме того, команда оставила сообщение в цепочке, предложив LP, зафиксировавшим прибыль, сотрудничество: оставить 10% в качестве вознаграждения за уязвимость, остальное вернуть дружелюбно, надеясь решить вопрос приватно.

事件根本原因总结

Данный инцидент не связан с уязвимостью самого контракта YO Protocol, а является классическим примером операционного риска и особенностей взаимодействия с Uniswap v4. Основные причины:

• Ошибки автоматизированных скриптов или маршрутизации агрегаторов, которые ошибочно выбрали экстремальный пул v4 (с узким диапазоном ликвидности и кастомными hook, что может приводить к динамически высоким комиссиям или ценовым манипуляциям).
• Отсутствие достаточных защитных механизмов, таких как белый список пулов, ограничение проскальзывания, проверка ценового влияния и др.
• С момента запуска Uniswap v4 в 2025 году его hook-механизм, хоть и инновационный, также стал потенциальной точкой риска, особенно для крупных сделок, создавая «бомбы проскальзывания».

Множество команд безопасности сходятся во мнении, что это — «масштабированный операционный сбой», а не злонамеренная атака, и подчеркивают необходимость усиления мер безопасности при автоматизированных крупных операциях в DeFi.