最优质的加密货币资讯直接发送到您的邮箱。.
- 区块链安全公司 Blockaid 检测到 Yield Yak 的投票子域名遭到前端攻击,攻击者注入了 Eleven drainer 钱包窃取脚本。.
- 这次攻击与最近 Gitcoin 遭受的攻击如出一辙,表明黑客攻击加密平台子域名而不是核心智能trac的趋势日益增长。.
- 目前尚未公布确切的损失数字,但将钱包连接到被入侵网站的用户可能已经遭受了未经授权的交易。.
区块链网络安全公司 Blockaid 于 2026 年 6 月 24 日检测到去中心化金融 (DeFi) 收益聚合平台 Yield Yak 的网站前端遭到攻击。据 Blockaid 称,Yield Yak 网站的前端已被恶意脚本入侵,导致用户钱包资金被盗。这是几天内针对大型加密货币交易平台发生的第二起此类攻击,也是近期针对大型加密货币平台的前端攻击趋势的最新例证。.
根据 Blockaid 的检测结果,子域名 vote.yieldyak.com 已被名为“Eleven drainer”的恶意软件代码入侵。“Eleven drainer”是一种恶意脚本,它诱骗用户通过用户授权的交易将数字资产发送给攻击者。该恶意代码会在用户连接钱包的瞬间强制用户批准操作或将资产发送给攻击者,用户往往甚至在意识到自己正在做什么之前就已经被操控。截至发稿时,Blockaid 和 Yield Yak 均未提供此次黑客攻击造成的损失金额信息。.
攻击者使用 classic 剧本
Yield Yak 遭受的黑客攻击与几天前开源众筹平台 Gitcoin 上发现的漏洞非常相似。 据 Blockaid 6 月 21 日的报告显示,Gitcoin 的一个子域名 files.gitcoin.co 也存在同样的 Eleven 漏洞代码,并警告用户远离该平台,因为该平台正在接受检查。Blockaid 将这两起黑客攻击直接联系起来,指出 Yield Yak 的攻击“与昨天 Gitcoin 的攻击如出一辙,后者的dent 方式也类似”。
🚨Blockaid 的系统检测到dentyieldyak[.]com 发起了前端攻击。 对该网站的子域名 vote[.]yieldyak[.]com 现在包含 eleven drainer 代码。
— Blockaid (@blockaid_) 2026年6月24日
这与昨天dent 的 @gitcoin 类似攻击 。pic.twitter.com/YFmWEYfa7D
在这两起事件中,被攻破的都是子域名,而非核心应用程序接口。Yield Yak 的核心产品(一个基于 Avalanche的风险 钱包被盗。
缺乏 defi的损失数字并不总是意味着后果轻微。前端漏洞通常需要经过数小时甚至数天的调查,安全团队需要dent钱包之间的交互,并检查用户是否执行了恶意交易。在今年的其他一些资金窃取案例中,损失金额从几千美元到数百万美元不等,具体取决于恶意代码被删除之前连接钱包的用户数量。例如,在 Blockaid 监控的一起事件中dent黑客在 5 月份利用第三方模块漏洞从 86 个 Safe 钱包中窃取了约 320 万美元 。第二个例子是流动性提供商 TrustedVolumes 的漏洞利用,导致 590 万美元的损失。
前端攻击激增
前文提到的 Yield Yak 和 Gitcoin 黑客事件只是今年席卷加密货币社区的一股更大趋势的一部分。这种前端攻击,即攻击者利用项目网站漏洞而不影响智能trac,在各大 DeFi 平台上的发生频率都在不断上升。.
今年早些时候,OpenEden、Curvance 和 Maple Finance 在二月份的一周内相继遭受前端攻击。这些攻击使用了名为 AngelFerno 的不同窃取资金工具包,但攻击手法相同:获取项目 Web 基础设施的访问权限,插入劫持钱包连接的代码,然后等待用户交互。.
Blockaid 记录了 2026 年 4 月更为猖獗的攻击模式。在 Drift Protocol、 KelpDAO和其他平台发生重大攻击事件后,窃取者在数小时内迅速搭建了外观相似的域名,拦截惊慌失措、试图撤销代币授权的用户。该公司称 2026 年 4 月是“有史以来加密货币盗窃最严重的月份”,并指出在 20 多起事件中,超过 6.29 亿美元的资金dent。
Yield Yak 用户应该了解什么
根据其在 Alchemy 上的介绍,Yield Yak 是 Avalanche 上的一个 DeFi 协议,它能够自动复利收益耕作奖励,并运营一个去中心化交易所聚合器。通过主平台智能trac存入资产的用户不会直接受到前端攻击的影响,因为底层trac保持不变。风险适用于任何访问过被攻击的子域名并连接钱包或签署过交易的用户。.
截至发稿时,Yield Yak 和 Gitcoin 均未就各自dent修复进展发布公开声明。目前尚无安全公司或区块链调查机构公开报告与 Yield Yak 安全漏洞相关的已确认损失,也没有任何链上证据表明潜在盗窃的规模。Blockaid 建议用户在问题调查和修复期间不要访问受影响的网站。.
怀疑自己与 vote.yieldyak.com 进行过交互的用户,应使用可信工具撤销会话期间授予的任何代币批准,并监控自己的钱包是否存在未经授权的转账。.
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
常见问题解答
Yield Yak的网站怎么了?
据 Blockaid 于 2026 年 6 月 24 日在 X 上发布的警报显示,安全公司 Blockaid 检测到 Yield Yak 的子域名 vote.yieldyak.com 被注入了恶意“Eleven drainer”代码,该代码旨在用户连接钱包时窃取加密资产。.
Eleven Drainer 是否与攻击 Gitcoin 的恶意软件是同一型号?
是的。Blockaid 证实,Yield Yak 攻击使用了与三天前在 Gitcoin 的 files.gitcoin.co 子域名上发现的相同的 Eleven 窃取程序代码,并指出这两起dent的运作方式类似。.
Yield Yak的智能trac和存款是否会受到影响?
前端攻击的目标是项目的网站,而不是其智能trac。未访问或与被入侵子域名交互的用户不会直接面临风险,但任何将钱包连接到 vote.yieldyak.com 的用户都应撤销代币授权并检查是否存在未经授权的交易。.
免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究
阿什什·库马尔
阿什什·库马尔是一位拥有八年新闻从业经验的加密货币和金融记者。他主要报道加密货币市场、监管、 DeFi以及交易所生态系统的最新动态。他曾就职于Coingape、Todayq和Newsroompost等媒体。阿什什拥有印度管理学院加尔各答分校(IIMC)英语新闻专业的研究生文凭(PGDP)。他还采访过包括亚瑟·海耶斯、萧逸、奥斯汀·费德拉等在内的多位业内人士。.
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)