YO Protocol 驚傳嚴重換幣失誤：價值約 384 萬美元的 stkGHO 在一次資產再平衡操作中，意外透過 Uniswap v4 極端池子兌換，僅換得約 12.2 萬美元 USDC，瞬間蒸發近 370 萬美元。
（前情提要：TrueBit 協議疑似遭駭客攻擊！8,535 枚以太坊被異常轉出，$TRU 瞬間腰斬）
（背景補充：北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天）

本文目錄

• 事件經過
• YO Protocol 團隊的快速反應
• 事件根本原因總結

區塊鏈安全公司 BlockSec 最新發文披露，DeFi 協議 YO Protocol 於 2026 年 1 月 13 日發生了一起嚴重的異常換幣事件。這並非傳統意義上的智能合約漏洞或駭客攻擊事件，而是操作過程中出現的嚴重失誤，導致價值約 384 萬美元的 stkGHO（Aave 質押的 GHO 代幣）在兌換 USDC 的過程中，僅成功換得約 12.2 萬美元的 USDC，實際損失接近 370 萬美元。

YO protocol (@yield) was reported to suffer a bizarre swap on #Ethereum: ~$3.84M stkGHO ended up as only ~$122K USDC. The team has taken actions including buying GHO and re-depositing stkGHO into the vault.

Our investigation suggests the discrepancy may have resulted from two… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) January 13, 2026

事件經過

Menurut analisis dari beberapa tim keamanan seperti BlockSec, kejadian ini berawal dari operasi rebalancing aset besar yang dilakukan oleh operator Yo Vault (atau keeper otomatisasi) dari YO Protocol: menukar sekitar 384 juta dolar stkGHO (GHO token yang dipinjamkan melalui Aave) menjadi USDC. Transaksi ini seharusnya mencari rute terbaik melalui aggregator, namun malah diarahkan ke salah satu pool Uniswap v4 yang sangat tipis likuiditasnya dan biaya tinggi (atau menggunakan hook kustom).

Karena pemilihan rute yang abnormal, ditambah kemungkinan pengaturannya yang terlalu toleran terhadap slippage (bahkan tanpa perlindungan sama sekali), menyebabkan dampak harga ekstrem dan biaya besar yang diambil dari pool tersebut. Akhirnya, sebagian besar nilai tersebut diambil oleh penyedia likuiditas (LP) dari pool Uniswap v4, dan hanya tersisa sekitar 11.2–12.2 ribu dolar USDC yang kembali ke kontrak.

YO Protocol 團隊的快速反應

Setelah kejadian, tim YO Protocol dalam beberapa jam melakukan langkah-langkah mitigasi:

• Membeli kembali sekitar 371 juta dolar GHO melalui aggregator CoW Swap yang dilindungi MEV.
• Mengembalikan stkGHO yang setara ke Vault, untuk segera memulihkan likuiditas.
• Sementara menghentikan pasar YoUSD di Pendle, dan akan dibuka kembali setelah penyesuaian selesai.

Selain itu, tim juga meninggalkan pesan di chain, menawarkan kerjasama kepada LP yang mendapatkan keuntungan: menyarankan LP menyimpan 10% sebagai bounty bug, dan sisanya dikembalikan secara baik-baik, berharap penyelesaian secara pribadi.

事件根本原因總結

Kejadian ini bukan karena adanya celah pada kontrak YO Protocol itu sendiri, melainkan hasil dari risiko operasional dan interaksi khusus Uniswap v4 yang diperbesar. Faktor utama meliputi:

• Kesalahan routing otomatis atau aggregator yang salah memilih pool ekstrem (likuiditas sempit + hook kustom yang berpotensi menyebabkan biaya tinggi dinamis atau manipulasi harga).
• Kurangnya mekanisme perlindungan yang memadai, seperti whitelist pool, batas slippage maksimal, pemeriksaan dampak harga, dll.
• Sejak peluncuran Uniswap v4 pada 2025, mekanisme hook-nya yang inovatif juga membawa risiko “bom slippage”, terutama untuk transaksi besar yang sangat berbahaya.

Banyak tim keamanan sepakat bahwa ini adalah kejadian “kesalahan operasi yang diperbesar”, bukan serangan jahat, dan menjadi peringatan bahwa DeFi harus memperkuat gerbang keamanan saat melakukan operasi otomatis besar.