慢霧:yearn遭遇攻擊的根本原因是Yearn yETH池合約存在不安全的數學運算
2025-12-05 02:57
Odaily星球日報訊據SlowMist 監測,12 月1 日,去中心化金融協議yearn 遭遇駭客攻擊,造成約900 萬美元損失。慢霧安全團隊對此事件進行了分析,確認根本原因如下:
漏洞源自於Yearn yETH 加權穩定幣交換池(Weighted Stableswap Pool)合約中用於計算供應量的_calc_supply 函數邏輯。由於存在不安全的數學運算,該函數在計算過程中允許溢位和捨去誤差,導致新供應量與虛擬餘額的乘積計算出現顯著偏差。攻擊者利用此缺陷可將流動性操控至特定數值,並超額鑄造流動性池(LP)代幣,從而非法獲利。
建議加強邊界場景測試,並採用經過安全驗證的算術運算機制,以防範同類協議中此類溢位等高風險漏洞。
先前消息,Yearn 發布聲明稱,其yETH 穩定池於11 月30 日21:11 UTC 遭遇攻擊,攻擊者透過自訂合約大量鑄造yETH,導致池內約800 萬美元資產受損,另有約90 萬美元損失來自Curve 上的yETH-WETH 池。
推薦文章
