文章总结： 2026年2月22日，Stellar链上由YieldBloxDAO运营的BlendV2借贷池遭攻击，损失超1000万美元。攻击者通过操纵SDEX上流动性较浅的USTRY/USDC市场价格，导致池内Reflector预言机采用被操纵价格，高估USTRY抵押品价值，从而借出并抽离池内USDC和XLM资产。事件核心是池运营方配置依赖了可操纵价格源，而非协议核心合约漏洞，凸显了借贷池在价格依赖选择与监控上需具备抗操纵能力。 综合评分： 85 文章分类： 区块链安全,漏洞分析,威胁情报

Stellar 上 YieldBlox DAO 事件分析

原创

BlockSec BlockSec

BlockSec

2026年2月28日 18:06 浙江

一、 摘要

2026 年 2 月 22 日，Stellar 上 Blend V2 的一个由 YieldBlox DAO 运营的借贷池遭到攻击，损失超过 1000 万美元。

攻击者先在 SDEX 上操纵 USTRY/USDC 市场价格。随后，该池配置的 Reflector 预言机路径接受了该操纵价格，导致 USTRY 抵押品被高估，并使攻击者得以抽离池内资产（USDC 和 XLM）。

本次事件并非 Blend V2 核心合约问题，而是池运营方（YieldBlox DAO）的配置问题。

二、背景

在 Stellar 链上，Blend V2 是一个支持创建隔离借贷池的流动性协议。每个池可独立配置可借资产、抵押资产和预言机来源。

本次受影响池允许用户使用 USTRY 作为抵押借出 XLM 和 USDC。该池使用 Reflector 预言机 [2]，其 USTRY 定价基于 SDEX 上 USTRY/USDC 市场 [3] 的周期性更新。

三、漏洞分析

漏洞成立的关键在于池侧定价设计依赖可操纵市场：

1. SDEX 上 USTRY/USDC 市场流动性很浅。
2. 攻击者可以吃掉正常挂单并挂出异常报价，快速抬高市场价格。
3. Reflector 随后更新到该异常价格。
4. 池风控将该价格用于抵押品估值，从而高估可借额度。

四、攻击分析

1. （Tx 1, 2）攻击者在 SDEX 上将 USTRY 从约 $1.06 拉升至约 $107。

2. （Tx 3）Reflector 拉取并更新被操纵后的价格。

3. （Tx 4, 5）攻击者以 12,881e7 USTRY 抵押，借出 1,000,196e7 USDC。

4. （Tx 6, 7）攻击者以 14,987,610e7 USTRY 抵押，借出 6,124,927,810e7 XLM。

5. （Tx 8, 9, 10）攻击者将被盗资产桥接至 Base、BSC 和 Ethereum。

五、损失/获利分析

Stellar 上估算损失约 $10M+。

六、结论

本次事件的核心问题很明确：该池抵押品估值依赖了可被操纵的价格来源。问题是 pool 使用方（YieldBlox DAO）配置问题，不是 Blend V2 核心合约问题。这也再次提醒，借贷池在选择与监控价格依赖时，必须具备更强的抗操纵能力。

参考资料

[1] YieldBlox DAO

[2] https://reflector.network/

[3] USTRY/USDC Market on the SDEX

关于BlockSec

BlockSec 是全球领先的区块链安全和合规公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，提供一站式安全服务，包括智能合约/链/钱包安全审计服务、协议安全和数字货币合规(AML/CFT)平台 Phalcon Security / Phalcon Compliance / Phalcon Network、资金追踪调查平台 MetaSleuth 和区块链交易分析工具 Phalcon Explorer 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam

推荐阅读👇

BlockSec

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BlockSec BlockSec BlockSec《Stellar 上 YieldBlox DAO 事件分析》