Publier

慢雾:yearn 遭遇攻击的根本原因是 Yearn yETH 池合约存在不安全的数学运算

ChainCatcher
ChainCatcher

ChainCatcher 消息,据 SlowMist 监测,去中心化金融协议 yearn 遭遇黑客攻击,造成约 900 万美元损失。

慢雾安全团队对该事件进行了分析,确认根本原因如下:漏洞源于 Yearn yETH 加权稳定币交换池(Weighted Stableswap Pool)合约中用于计算供应量的 _calc_supply 函数逻辑。由于存在不安全的数学运算,该函数在计算过程中允许溢出和舍入误差,导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值,并超额铸造流动性池(LP)代币,从而非法获利。建议加强边界场景测试,并采用经过安全验证的算术运算机制,以防范同类协议中此类溢出等高危漏洞。

此前消息,Yearn 发布声明称,其 yETH 稳定池于 11 月 30 日 21:11 UTC 遭遇攻击,攻击者通过自定义合约大量铸造 yETH,导致池内约 800 万美元资产受损,另有约 90 万美元损失来自 Curve 上的 yETH-WETH 池。

YFI+0,04 %
CRV-0,17 %
ETH-0,53 %
10:57 · 05/12/25·716 vues·
Consulter la source
0
0

Avertissement : les contenus d'OKX Orbit sont uniquement publiés à titre informatif. En savoir plus

Réponses

Aucun commentaire pour le moment. Soyez le premier à répondre !

Related Flash News

Avatar sourceBlockbeatsIl y a 47 j

La communauté dYdX a voté pour approuver la proposition de « suppression progressive des 12 marchés »

Avatar sourceBlockbeatsIl y a 48 j

Enquêteur on-chain : Un grand nombre de travailleurs informatiques nord-coréens sont profondément impliqués dans la mise en place de protocoles blockchain, remontant à l’été DeFi en 2020

Avatar sourceBlockbeatsIl y a 121 j

Binance retirera de la liste les paires de trading au comptant telles que AI/BTC, ALLO/BNB, APE/BTC, etc

Avatar sourceOdailyIl y a 121 j

Binance supprimera 20 paires de trading au comptant, y compris AI/BTC, le 23 janvier 2026

Avatar sourceWu BlockchainIl y a 144 j

Lookonchain : Les adresses associées à des attaquants suspects indexés et Kyber sont de nouveau actives après un an de silence

Avatar sourcePANewsIl y a 144 j

Indexed Finance et Kyber Network ont piraté des portefeuilles liés pour vendre environ 2,11 millions de dollars d’actifs à nouveau après un an

Avatar sourceChainCatcherIl y a 144 j

Les portefeuilles liés aux hackers d’Indexed Finance et Kyber Network ont versé 2,11 millions de dollars de jetons après un an de dormance

Avatar sourceOdailyIl y a 144 j

Les portefeuilles liés à des hackers de Indexed Finance et Kyber Network ont vendu 2,11 millions de dollars en jetons après un an de dormance

Avatar sourceChainCatcherIl y a 166 j

Yearn Finance détaille l’exploit de 9 millions de dollars d’yETH, confirme la récupération de certains actifs et annonce un plan de réparation

Avatar sourceOdailyIl y a 166 j

Yearn Finance détaille l’exploit yETH de 9 millions de dollars, confirme la récupération de certains actifs et annonce des plans de réparation