Yearn Finance nêu chi tiết về cuộc tấn công lỗ hổng yETH trị giá 9 triệu đô la, xác nhận khôi phục một phần tài sản và công bố kế hoạch khắc phục.

Odaily Planet Daily đưa tin Yearn Finance đã công bố báo cáo chi tiết sau sự cố về cuộc tấn công lỗ hổng yETH tuần trước, chỉ ra lỗi số ba giai đoạn trong nhóm thanh khoản stableswap cũ của họ. Lỗi này cho phép kẻ tấn công "đúc" token LP vô thời hạn và đánh cắp khoảng 9 triệu đô la tài sản từ nhóm thanh khoản.

Yearn đã xác nhận rằng, với sự hỗ trợ của đội ngũ Plume và Dinero, họ đã thu hồi thành công 857,49 pxETH, tương đương khoảng một phần tư số tài sản bị đánh cắp. Đội ngũ dự định phân phối số tiền thu hồi được theo tỷ lệ cho những người gửi tiền bằng yETH.

Giao thức tài chính phi tập trung (DFP) cho biết lỗ hổng bảo mật xảy ra tại khối 23.914.086 vào ngày 30 tháng 11 năm 2025. Kẻ tấn công, thông qua một chuỗi hoạt động phức tạp, đã buộc bộ phân giải nội bộ của nhóm thanh khoản chuyển sang trạng thái phân kỳ, cuối cùng gây ra hiện tượng tràn số học. Cuộc tấn công nhắm vào một nhóm stableswap tùy chỉnh, tập hợp nhiều token đặt cược thanh khoản (LST), cũng như một nhóm yETH/WETH Curve. Yearn nhấn mạnh rằng kho lưu trữ v2 và v3 cùng các sản phẩm khác của họ không bị ảnh hưởng.

Để giải quyết những vấn đề này, Yearn đã đưa ra một kế hoạch sửa lỗi bao gồm việc triển khai kiểm tra miền rõ ràng trên trình giải quyết, thay thế phép tính số học không an toàn trong các phần quan trọng bằng phép tính số học đã kiểm tra và vô hiệu hóa logic khởi động sau khi nhóm hoạt động trực tuyến.