金色财经報道、SlowMistの監視によると、12月1日、分散型金融プロトコルyearnがハッキング攻撃を受け、約900万ドルの損失が発生しました。SlowMistセキュリティチームはこの事件を分析し、根本原因を以下のように確認しました: 脆弱性は、Yearn yETH加重ステーブルコインスワッププール(Weighted Stableswap Pool)コントラクト内で供給量を計算するためのcalcsupply関数ロジックに由来します。不安全な数学演算が存在するため、この関数は計算過程でオーバーフローや丸め誤差を許容し、新しい供給量と仮想残高の積の計算に大きな偏差が生じます。攻撃者はこの欠陥を利用し、流動性を特定の値に操作し、流動性プール(LP)トークンを過剰に鋳造して不正に利益を得ることができます。 同種のプロトコルにおけるこのようなオーバーフロー等の高リスク脆弱性を防ぐため、境界シナリオのテスト強化と、安全性が検証された算術演算メカニズムの採用を推奨します。
