Yearn Finance는 900만 달러 규모의 yETH 취약점 공격에 대한 세부 정보를 공개하고, 자산을 일부 회복했음을 확인했으며, 복구 계획을 발표했습니다.

Odaily Planet Daily에 따르면 Yearn Finance는 지난주 yETH 취약점 공격에 대한 자세한 사후 보고서를 발표하며 기존 스테이블스왑 유동성 풀의 3단계 수치 오류를 지적했습니다. 이 오류로 인해 공격자는 LP 토큰을 무기한 "채굴"하고 유동성 풀에서 약 900만 달러 상당의 자산을 훔칠 수 있었습니다.

Yearn은 Plume과 Dinero 팀의 지원을 받아 도난당한 자산의 약 4분의 1에 해당하는 857.49pxETH를 성공적으로 회수했다고 확인했습니다. Yearn 팀은 회수된 자금을 yETH 예치자들에게 비례하여 분배할 계획입니다.

탈중앙화 금융 프로토콜은 취약점이 2025년 11월 30일 23,914,086 블록에서 발생했다고 밝혔습니다. 공격자는 복잡한 일련의 연산을 통해 유동성 풀의 내부 리졸버를 분산 상태로 만들어 결국 산술적 언더플로를 유발했습니다. 이 공격은 여러 유동성 스테이킹 토큰(LST)을 통합하는 맞춤형 스테이블스왑 풀과 yETH/WETH 커브 풀을 표적으로 삼았습니다. Yearn은 v2 및 v3 볼트와 기타 제품은 영향을 받지 않았다고 강조했습니다.

이러한 문제를 해결하기 위해 Yearn은 리졸버에 대한 명시적 도메인 검사를 구현하고, 중요 섹션의 안전하지 않은 산술 연산을 검사된 산술 연산으로 대체하고, 풀이 온라인 상태가 된 후 부트스트래핑 논리를 비활성화하는 등의 수정 계획을 발표했습니다.