Análisis en profundidad del incidente de 3,7 millones de dólares de YO Protocol: desde defectos de configuración hasta la reconstrucción del sistema de protección de transacciones

【币界】YO Protocol的自动收获系统（Automated Harvesting System）遭遇配置缺陷，引发了一场价值数百万美元的「坏掉的交换」事件。

具体发生了什么？收益器在执行操作时，误将财库内全部stkGHO余额（包含本金和奖励）输入到DEX聚合器进行兑换。关键问题在于：stkGHO同时承载两个角色——既是收获奖励的标的，又是财库的核心资产，这种双重身份触发了边界条件异常。聚合器给出的报价极其离谱，Harvester没有及时识别异常并拒绝交易。虽然系统设置了滑点保护参数，但这些防护只监测交易过程中的价格浮动，对初始报价本身毫无验证能力——最终384万美元的stkGHO只换回了11.2万美元的USDC，370万美元的差价被Uniswap v4的流动性提供者吃掉了。

好消息是什么？yoUSD财库已恢复正常运营，用户余额和协议偿付能力都未受波及。YO团队已展开系统性改革，在全链路交易防护中统一了风控标准——从报价验证到滑点监测，多层防护不再有死角。这次事件也给整个DeFi生态敲了个警钟：单纯依赖交易中途的保护机制远远不够，对初始报价的合理性审查同样关键。