BlockSec：DeFi协议YO Protocol异常换币！在Uniswap 384万美元stkGHO仅换得12.2万USDC

据oe报道，区块链安全公司BlockSec最新发文披露，DeFi协议YO Protocol于2026年1月13日发生了一起严重的异常换币事件。这并非传统意义上的智能合约漏洞或黑客攻击事件，而是操作过程中出现的严重失误，导致价值约384万美元的stkGHO(Aave质押的GHO代币)在兑换USDC的过程中，仅成功换得约12.2万美元的USDC，实际损失接近370万美元。

事件经过

根据BlockSec等多家安全团队的链上分析，事件起源于YO Protocol的YoVault操作者(或自动化keeper)执行的一笔大额资产再平衡操作：将约384万美元的stkGHO兑换成USDC。这笔交易原本应透过聚合器寻找最佳路由，但却被导向Uniswap v4的一个流动性极度稀薄、费用极高(或使用了自订hook)的池子。

由于路由选择异常，加上发起者可能设定了过高的滑点容忍度(甚至完全未设防护)，造成极端价格冲击与巨额费用被抽取。最终，大部分价值被该Uniswap v4池子的流动性提供者(LP)捕获，仅剩约11.2万～12.2万美元的USDC回到协议手中。

YO Protocol团队的快速反应

事件发生后，YO Protocol团队在数小时内完成补救措施：

透过带有MEV保护的CoWSwap聚合器，回购约371万美元的GHO。

将等值stkGHO重新存入Vault，迅速恢复流动性。

短暂暂停Pendle上的YoUSD市场，待补仓完成后重新开启。

此外，团队还在链上留言，向捕获利润的LP提出合作方案：建议LP保留10%作为漏洞赏金，其余部分友好归还，希望以私下方式解决争议。

事件根本原因总结

这起事件并非YO Protocol合约本身存在漏洞，而是典型的营运风险与Uniswap v4特性交互放大的结果。主要因素包括：

自动化脚本或聚合器路由选择失误，误入极端配置的v4池子(窄范围集中流动性+自订hook可能带来动态高费率或价格操控)。

缺乏足够的防护机制，例如白名单池子、强制滑点上限、价格影响检查等。

Uniswap v4自2025年推出以来，其hook机制虽带来高度创新，但也成为「滑点炸弹」的潜在风险点，尤其对大额交易极为危险。

多家安全团队一致认为，这是一起「操作失误放大版」事件，而非恶意攻击，警示DeFi协议在自动化大额操作时，必须大幅强化安全闸门。