YO Protocol 驚傳嚴重換幣失誤：價值約 384 萬美元的 stkGHO 在一次資產再平衡操作中，意外透過 Uniswap v4 極端池子兌換，僅換得約 12.2 萬美元 USDC，瞬間蒸發近 370 萬美元。
（前情提要：TrueBit 協議疑似遭駭客攻擊！8,535 枚以太坊被異常轉出，$TRU 瞬間腰斬）
（背景補充：北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天）

本文目錄

• 事件經過
• YO Protocol 團隊的快速反應
• 事件根本原因總結

區塊鏈安全公司 BlockSec 最新發文披露，DeFi 協議 YO Protocol 於 2026 年 1 月 13 日發生了一起嚴重的異常換幣事件。這並非傳統意義上的智能合約漏洞或駭客攻擊事件，而是操作過程中出現的嚴重失誤，導致價值約 384 萬美元的 stkGHO（Aave 質押的 GHO 代幣）在兌換 USDC 的過程中，僅成功換得約 12.2 萬美元的 USDC，實際損失接近 370 萬美元。

YO protocol (@yield) was reported to suffer a bizarre swap on #Ethereum: ~$3.84M stkGHO ended up as only ~$122K USDC. The team has taken actions including buying GHO and re-depositing stkGHO into the vault.

Our investigation suggests the discrepancy may have resulted from two… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) January 13, 2026

事件經過

จากการวิเคราะห์บนบล็อกเชนโดยทีมงานด้านความปลอดภัยหลายแห่ง เช่น BlockSec เหตุการณ์นี้เกิดจากการดำเนินการของผู้ควบคุม Vault ของ YO Protocol (หรือ keeper อัตโนมัติ) ที่ดำเนินการปรับสมดุลสินทรัพย์จำนวนมาก: นำ stkGHO มูลค่าประมาณ 384 ล้านดอลลาร์ ไปแลกเป็น USDC การทำธุรกรรมนี้ควรจะใช้เส้นทางที่ดีที่สุดผ่านตัวรวม (aggregator) แต่กลับถูกนำไปยัง pool ของ Uniswap v4 ที่มีสภาพคล่องต่ำมาก ค่าธรรมเนียมสูง (หรือใช้ hook ที่กำหนดเอง)

เนื่องจากการเลือกเส้นทางผิดพลาด และอาจมีการตั้งค่าความยอมรับความคลาดเคลื่อน (slippage) สูงเกินไป (หรือไม่มีการป้องกันเลย) ทำให้เกิดผลกระทบด้านราคาที่รุนแรงและค่าธรรมเนียมจำนวนมากถูกดึงออกไป สุดท้าย สินทรัพย์ส่วนใหญ่ถูก LP ของ pool นี้จับไปได้ เหลือเพียงประมาณ 11.2 ถึง 12.2 แสนดอลลาร์ USDC กลับเข้าสู่สัญญา

YO Protocol ทีมงานตอบสนองอย่างรวดเร็ว

หลังเกิดเหตุ ทีมงาน YO Protocol ได้ดำเนินการแก้ไขภายในไม่กี่ชั่วโมง:

• ใช้ CoW Swap ซึ่งมีการป้องกัน MEV เพื่อซื้อ GHO กลับประมาณ 371 ล้านดอลลาร์
• นำ stkGHO ที่ได้กลับเข้า Vault เพื่อฟื้นฟูสภาพคล่องอย่างรวดเร็ว
• ชั่วคราวหยุดตลาด YoUSD บน Pendle จนกว่าจะดำเนินการแก้ไขเสร็จสิ้น แล้วจึงเปิดให้บริการอีกครั้ง

นอกจากนี้ ทีมงานยังได้แสดงความคิดเห็นบนบล็อกเชน เสนอแนวทางความร่วมมือกับ LP ที่ได้กำไรจากเหตุการณ์นี้: ให้ LP เก็บ 10% เป็นรางวัลสำหรับช่องโหว่ ส่วนที่เหลือคืนให้ด้วยความเป็นมิตร หวังแก้ไขข้อพิพาทแบบส่วนตัว

สรุปสาเหตุของเหตุการณ์

เหตุการณ์นี้ไม่ได้เกิดจากช่องโหว่ในสัญญา YO Protocol เอง แต่เป็นผลจากความเสี่ยงด้านการดำเนินงานและลักษณะเฉพาะของ hook ใน Uniswap v4 ซึ่งเป็นผลจากการทำงานร่วมกันที่ผิดพลาด สาเหตุหลักประกอบด้วย:

• สคริปต์อัตโนมัติหรือการเลือกเส้นทางของตัวรวมผิดพลาด นำไปสู่ pool ของ v4 ที่มีการตั้งค่าขีดจำกัดความคลาดเคลื่อน (slippage) สูงมาก (เช่น สภาพคล่องแคบ + hook ที่กำหนดเองอาจนำไปสู่ค่าธรรมเนียมสูงหรือการควบคุมราคา)
• ขาดมาตรการป้องกันที่เพียงพอ เช่น การอนุญาตให้เฉพาะ pool ที่ปลอดภัยเท่านั้น, การกำหนดขีดสูงสุดของ slippage, การตรวจสอบผลกระทบของราคา ฯลฯ
• ตั้งแต่ Uniswap v4 เปิดตัวในปี 2025 ระบบ hook ซึ่งเป็นนวัตกรรมที่สำคัญ ก็กลายเป็นจุดเสี่ยงของ “ระเบิด slippage” โดยเฉพาะสำหรับการทำธุรกรรมจำนวนมาก ซึ่งอาจเป็นอันตรายอย่างยิ่ง

หลายทีมด้านความปลอดภัยเห็นพ้องกันว่านี่เป็นเหตุการณ์ “ความผิดพลาดในการดำเนินงานที่ขยายตัว” มากกว่าจะเป็นการโจมตีโดยเจตนา เตือนให้ DeFi ควรเสริมความปลอดภัยอย่างเข้มงวดเมื่อดำเนินการอัตโนมัติในปริมาณมาก