Yearn Finance詳述900萬美元yETH漏洞攻擊,確認部分資產恢復並公佈修復計劃
2025-12-08 15:51
Odaily星球日報訊Yearn Finance 發布了針對上週yETH 漏洞攻擊的詳細事後報告,指出其遺留的stableswap 流動性池中存在一個三階段數值錯誤,該錯誤導致攻擊者能夠「無限鑄造」LP 代幣,並從該流動性池中盜取了約900 萬美元資產。
Yearn 確認,在Plume 和Dinero 團隊的協助下,成功追回857.49 枚pxETH,約佔被盜資產的四分之一。團隊計劃將追回的資金按比例分配給yETH 的儲戶。
該去中心化金融協議表示,該漏洞攻擊發生在2025 年11 月30 日的區塊23,914,086,攻擊者透過複雜的操作序列,迫使流動性池的內部解析器進入發散狀態,並最終觸發算術下溢。此攻擊目標是聚合多種流動性質押代幣(LSTs)的自訂stableswap 池,以及一個yETH/WETH Curve 池。 Yearn 強調,其v2 和v3 保險庫及其他產品未受影響。
為解決這些問題,Yearn 公佈了修復計劃,包括在解析器上實施明確的域檢查、用受檢查的算術代替關鍵部分中的不安全算術、以及在池上線後禁用引導邏輯等。
推薦文章
