YO Protocol 驚傳嚴重換幣失誤：價值約 384 萬美元的 stkGHO 在一次資產再平衡操作中，意外透過 Uniswap v4 極端池子兌換，僅換得約 12.2 萬美元 USDC，瞬間蒸發近 370 萬美元。
（前情提要：TrueBit 協議疑似遭駭客攻擊！8,535 枚以太坊被異常轉出，$TRU 瞬間腰斬）
（背景補充：北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天）

本文目錄

• 事件經過
• YO Protocol 團隊的快速反應
• 事件根本原因總結

區塊鏈安全公司 BlockSec 最新發文披露，DeFi 協議 YO Protocol 於 2026 年 1 月 13 日發生了一起嚴重的異常換幣事件。這並非傳統意義上的智能合約漏洞或駭客攻擊事件，而是操作過程中出現的嚴重失誤，導致價值約 384 萬美元的 stkGHO（Aave 質押的 GHO 代幣）在兌換 USDC 的過程中，僅成功換得約 12.2 萬美元的 USDC，實際損失接近 370 萬美元。

YO protocol (@yield) was reported to suffer a bizarre swap on #Ethereum: ~$3.84M stkGHO ended up as only ~$122K USDC. The team has taken actions including buying GHO and re-depositing stkGHO into the vault.

Our investigation suggests the discrepancy may have resulted from two… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) January 13, 2026

事件經過

根據 BlockSec 等多家安全團隊的鏈上分析，事件起源於 YO Protocol 的 Yo Vault 操作者（或自動化 keeper）執行的一筆大額資產再平衡操作：將約 384 萬美元的 stkGHO 兌換成 USDC。這筆交易原本應透過聚合器尋找最佳路由，但卻被導向 Uniswap v4 的一個流動性極度稀薄、費用極高（或使用了自訂 hook）的池子。

由於路由選擇異常，加上發起者可能設定了過高的滑點容忍度（甚至完全未設防護），造成極端價格衝擊與巨額費用被抽取。最終，大部分價值被該 Uniswap v4 池子的流動性提供者（LP）捕獲，僅剩約 11.2 萬～12.2 萬美元的 USDC 回到協議手中。

YO Protocol 團隊的快速反應

事件發生後，YO Protocol 團隊在數小時內完成補救措施：

• 透過帶有 MEV 保護的 CoW Swap 聚合器，回購約 371 萬美元的 GHO。
• 將等值 stkGHO 重新存入 Vault，迅速恢復流動性。
• 短暫暫停 Pendle 上的 YoUSD 市場，待補倉完成後重新開啟。

此外，團隊還在鏈上留言，向捕獲利潤的 LP 提出合作方案：建議 LP 保留 10% 作為漏洞賞金，其餘部分友好歸還，希望以私下方式解決爭議。

事件根本原因總結

這起事件並非 YO Protocol 合約本身存在漏洞，而是典型的營運風險與 Uniswap v4 特性交互放大的結果。主要因素包括：

• 自動化腳本或聚合器路由選擇失誤，誤入極端配置的 v4 池子（窄範圍集中流動性 + 自訂 hook 可能帶來動態高費率或價格操控）。
• 缺乏足夠的防護機制，例如白名單池子、強制滑點上限、價格影響檢查等。
• Uniswap v4 自 2025 年推出以來，其 hook 機制雖帶來高度創新，但也成為「滑點炸彈」的潛在風險點，尤其對大額交易極為危險。

多家安全團隊一致認為，這是一起「操作失誤放大版」事件，而非惡意攻擊，警示 DeFi 協議在自動化大額操作時，必須大幅強化安全閘門。