YO Protocol 驚傳嚴重換幣失誤：價值約 384 萬美元的 stkGHO 在一次資產再平衡操作中，意外透過 Uniswap v4 極端池子兌換，僅換得約 12.2 萬美元 USDC，瞬間蒸發近 370 萬美元。
（前情提要：TrueBit 協議疑似遭駭客攻擊！8,535 枚以太坊被異常轉出，$TRU 瞬間腰斬）
（背景補充：北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天）

本文目錄

• 事件經過
• YO Protocol 團隊的快速反應
• 事件根本原因總結

區塊鏈安全公司 BlockSec 最新發文披露，DeFi 協議 YO Protocol 於 2026 年 1 月 13 日發生了一起嚴重的異常換幣事件。這並非傳統意義上的智能合約漏洞或駭客攻擊事件，而是操作過程中出現的嚴重失誤，導致價值約 384 萬美元的 stkGHO（Aave 質押的 GHO 代幣）在兌換 USDC 的過程中，僅成功換得約 12.2 萬美元的 USDC，實際損失接近 370 萬美元。

YO protocol (@yield) was reported to suffer a bizarre swap on #Ethereum: ~$3.84M stkGHO ended up as only ~$122K USDC. The team has taken actions including buying GHO and re-depositing stkGHO into the vault.

Our investigation suggests the discrepancy may have resulted from two… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) January 13, 2026

事件經過

Segundo análises de várias equipes de segurança, incluindo a BlockSec, o incidente teve origem numa operação de reequilíbrio de ativos executada pelo operador do Yo Vault (ou keeper automatizado) do YO Protocol: a troca de aproximadamente 384 milhões de dólares em stkGHO por USDC. Essa transação deveria ter sido otimizada por um agregador para encontrar a rota mais eficiente, mas foi direcionada para um pool do Uniswap v4 com liquidez extremamente escassa e taxas elevadas (ou usando hooks personalizados).

Devido à escolha de rota anormal, além de uma possível configuração de tolerância a slippage excessivamente alta (ou sem proteção), ocorreu um impacto de preço extremo e uma grande quantidade de taxas foi retirada. No final, a maior parte do valor foi capturada pelos provedores de liquidez (LP) desse pool do Uniswap v4, restando apenas cerca de 11.2 a 12.2 mil dólares em USDC na mão do protocolo.

YO Protocol 團隊的快速反應

Após o incidente, a equipe do YO Protocol tomou medidas corretivas em poucas horas:

• Recompra de aproximadamente 3,71 milhões de dólares em GHO usando um agregador CoW Swap com proteção contra MEV.
• Re-depósito do stkGHO equivalente no vault, restaurando rapidamente a liquidez.
• Suspensão temporária do mercado YoUSD na Pendle, aguardando a reposição de fundos para reabertura.

Além disso, a equipe deixou uma mensagem na blockchain propondo uma cooperação com os LPs que obtiveram lucros: sugerindo que os LPs mantenham 10% como recompensa por vulnerabilidade, e o restante seja devolvido amigavelmente, buscando resolver a controvérsia de forma privada.

事件根本原因總結

Este incidente não indica uma vulnerabilidade no contrato inteligente do YO Protocol, mas sim um resultado típico de riscos operacionais e das peculiaridades de interação com o Uniswap v4. Os fatores principais incluem:

• Erros na roteirização de scripts automatizados ou agregadores, levando a pools de configuração extrema (liquidez concentrada em faixa estreita + hooks personalizados que podem gerar taxas dinâmicas altas ou manipulação de preços).
• Falta de mecanismos de proteção adequados, como listas brancas de pools, limites de slippage obrigatórios, verificações de impacto de preço, etc.
• Desde o lançamento do Uniswap v4 em 2025, seu mecanismo de hooks trouxe inovação, mas também se tornou um ponto potencial de risco de “bomba de slippage”, especialmente perigoso para transações de grande volume.

Várias equipes de segurança concordam que se trata de um evento de “erro operacional amplificado”, e não de ataque malicioso, alertando que protocolos DeFi que realizam operações automatizadas de grande escala devem reforçar significativamente suas medidas de segurança.