慢雾:yearn 遭遇攻击的根本原因是 Yearn yETH 池合约存在不安全的数学运算
ChainCatcher 消息,据 SlowMist 监测,去中心化金融协议 yearn 遭遇黑客攻击,造成约 900 万美元损失。
慢雾安全团队对该事件进行了分析,确认根本原因如下:漏洞源于 Yearn yETH 加权稳定币交换池(Weighted Stableswap Pool)合约中用于计算供应量的 _calc_supply 函数逻辑。由于存在不安全的数学运算,该函数在计算过程中允许溢出和舍入误差,导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值,并超额铸造流动性池(LP)代币,从而非法获利。建议加强边界场景测试,并采用经过安全验证的算术运算机制,以防范同类协议中此类溢出等高危漏洞。
此前消息,Yearn 发布声明称,其 yETH 稳定池于 11 月 30 日 21:11 UTC 遭遇攻击,攻击者通过自定义合约大量铸造 yETH,导致池内约 800 万美元资产受损,另有约 90 万美元损失来自 Curve 上的 yETH-WETH 池。
Miễn trừ trách nhiệm: Nội dung OKX Orbit chỉ để tham khảo. Tìm hiểu thêm
Phản hồi
Related Flash News
Blockbeats•47 ngày trướcCộng đồng dYdX đã bỏ phiếu thông qua đề xuất "loại bỏ dần 12 thị trường"
Blockbeats•48 ngày trướcĐiều tra viên on-chain: Một số lượng lớn nhân viên CNTT của Triều Tiên tham gia sâu vào việc xây dựng các giao thức blockchain, bắt đầu từ mùa hè DeFi năm 2020
Blockbeats•121 ngày trướcBinance sẽ hủy niêm yết các cặp giao dịch spot như AI/BTC, ALLO/BNB, APE/BTC, v.v
Odaily•121 ngày trướcBinance sẽ xóa 20 cặp giao dịch spot, bao gồm AI/BTC, vào ngày 23 tháng 1 năm 2026
Wu Blockchain•144 ngày trướcLookonchain: Các địa chỉ liên quan đến Indexed Finance và Kyber bị nghi ngờ hoạt động trở lại sau 1 năm im lặng
PANews•144 ngày trướcIndexed Finance và Kyber Network đã hack các ví được liên kết để bán khoảng 2,11 triệu đô la tài sản một lần nữa sau một năm
ChainCatcher•144 ngày trướcCác ví liên quan đến Indexed Finance và tin tặc Kyber Network đã bán phá giá 2,11 triệu đô la token sau 1 năm không hoạt động
Odaily•144 ngày trướcCác ví liên quan đến Indexed Finance và tin tặc Kyber Network đã bán 2,11 triệu đô la token sau một năm không hoạt động
ChainCatcher•166 ngày trướcYearn Finance nêu chi tiết vụ khai thác 9 triệu đô la yETH, xác nhận việc thu hồi một số tài sản và công bố kế hoạch sửa chữa
Odaily•166 ngày trướcYearn Finance chi tiết khai thác 9 triệu đô la yETH, xác nhận việc thu hồi một số tài sản và công bố kế hoạch sửa chữa