慢雾:yearn 遭遇攻击的根本原因是 Yearn yETH 池合约存在不安全的数学运算
ChainCatcher 消息,据 SlowMist 监测,去中心化金融协议 yearn 遭遇黑客攻击,造成约 900 万美元损失。
慢雾安全团队对该事件进行了分析,确认根本原因如下:漏洞源于 Yearn yETH 加权稳定币交换池(Weighted Stableswap Pool)合约中用于计算供应量的 _calc_supply 函数逻辑。由于存在不安全的数学运算,该函数在计算过程中允许溢出和舍入误差,导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值,并超额铸造流动性池(LP)代币,从而非法获利。建议加强边界场景测试,并采用经过安全验证的算术运算机制,以防范同类协议中此类溢出等高危漏洞。
此前消息,Yearn 发布声明称,其 yETH 稳定池于 11 月 30 日 21:11 UTC 遭遇攻击,攻击者通过自定义合约大量铸造 yETH,导致池内约 800 万美元资产受损,另有约 90 万美元损失来自 Curve 上的 yETH-WETH 池。
相关快讯
Blockbeats•47 天前dYdX社区投票通过「逐步关闭12个市场」提案
Blockbeats•48 天前链上调查员:大量朝鲜IT工作者深度参与构建区块链协议,可追溯至2020年DeFi Summer
Blockbeats•121 天前Binance将下架AI/BTC、ALLO/BNB、APE/BTC等现货交易对
Odaily•121 天前币安将于2026年1月23日移除AI/BTC等20个现货交易对
Wu Blockchain•144 天前Lookonchain:疑似 Indexed Finance、Kyber 攻击者关联地址沉寂 1 年后再度活跃
PANews•144 天前Indexed Finance和Kyber Network黑客关联钱包时隔1年再次抛售约211万美元资产
ChainCatcher•144 天前与 Indexed Finance 及 Kyber Network 黑客关联的钱包休眠 1 年后抛售 211 万美元代币
Odaily•144 天前与Indexed Finance及Kyber Network黑客关联的钱包休眠1年后抛售211万美元代币
ChainCatcher•166 天前Yearn Finance 详述 900 万美元 yETH 漏洞攻击,确认部分资产恢复并公布修复计划
Odaily•166 天前Yearn Finance详述900万美元yETH漏洞攻击,确认部分资产恢复并公布修复计划