Yearn Finance が 900 万ドル相当の yETH 脆弱性攻撃の詳細を報告、資産の一部回復を確認し、修復計画を発表。

Odaily Planet Dailyは、Yearn Financeが先週発生したyETHの脆弱性攻撃に関する詳細な事後レポートを公開し、同社のレガシーステーブルスワップ流動性プールにおける3段階の数値エラーを指摘したと報じています。このエラーにより、攻撃者はLPトークンを無期限に「鋳造」し、流動性プールから約900万ドル相当の資産を盗むことができました。

Yearnは、PlumeとDineroのチームの支援を受けて、盗難資産の約4分の1にあたる857.49pxETHを回収したことを確認しました。チームは回収した資金をyETHの預金者に比例配分する予定です。

分散型金融プロトコルYearnは、この脆弱性が2025年11月30日のブロック23,914,086で発生したと発表しました。攻撃者は複雑な一連の操作を通じて、流動性プールの内部リゾルバを発散状態に陥らせ、最終的に算術アンダーフローを引き起こしました。攻撃は、複数の流動性ステーキングトークン（LST）を集約するカスタムステーブルスワッププールと、yETH/WETH Curveプールを標的としていました。Yearnは、v2およびv3のVaultおよびその他の製品は影響を受けていないことを強調しました。

これらの問題に対処するために、Yearn は、リゾルバに明示的なドメイン チェックを実装し、重要なセクションの安全でない演算をチェック済みの演算に置き換え、プールがオンラインになった後にブートストラップ ロジックを無効にすることを含む修正計画をリリースしました。