Odaily星球日报รายงานว่า Yearn Finance ได้เผยแพร่รายงานหลังเหตุการณ์อย่างละเอียดเกี่ยวกับการโจมตีช่องโหว่ yETH เมื่อสัปดาห์ที่ผ่านมา โดยระบุว่ามีข้อผิดพลาดเชิงตัวเลขสามขั้นตอนในพูลสภาพคล่อง stableswap ที่ยังหลงเหลืออยู่ ซึ่งข้อผิดพลาดนี้ทำให้ผู้โจมตีสามารถ "สร้าง" โทเค็น LP ได้ไม่จำกัด และขโมยสินทรัพย์จากพูลสภาพคล่องดังกล่าวไปประมาณ 9 ล้านดอลลาร์สหรัฐ Yearn ยืนยันว่า ด้วยความช่วยเหลือจากทีม Plume และ Dinero ได้กู้คืน pxETH จำนวน 857.49 เหรียญ คิดเป็นประมาณหนึ่งในสี่ของสินทรัพย์ที่ถูกขโมยไป ทีมงานมีแผนจะแบ่งเงินที่กู้คืนได้ให้กับผู้ฝาก yETH ตามสัดส่วน โปรโตคอลการเงินแบบกระจายศูนย์นี้ระบุว่า การโจมตีช่องโหว่นี้เกิดขึ้นในบล็อก 23,914,086 เมื่อวันที่ 30 พฤศจิกายน 2025 โดยผู้โจมตีได้ใช้ลำดับการดำเนินการที่ซับซ้อนเพื่อบังคับให้ตัวแปลผลภายในของพูลสภาพคล่อง...

PANews วันที่ 8 ธันวาคม รายงานว่า ตามการอภิปรายบนแพลตฟอร์ม X นักพัฒนาหลายรายมีความเห็นว่า แม้การโจมตี yETH จะถูกระบุว่าเกิดจากการทดสอบแบบ fuzzing แต่เส้นทางการโจมตีจริงมีความซับซ้อน อาจเกิดจากการค้นพบช่องโหว่ดั้งเดิมที่สามารถนำไปใช้ประโยชน์ได้แล้วค่อย ๆ ขยายความเสียหายออกไป โดย Michael ผู้ก่อตั้ง Curve

จากการรายงานของ Jinse Finance โดยอ้างอิงการตรวจสอบของ SlowMist เมื่อวันที่ 1 ธันวาคม โปรโตคอลการเงินแบบกระจายอำนาจ yearn ถูกโจมตีโดยแฮ็กเกอร์ ส่งผลให้สูญเสียมูลค่าประมาณ 9 ล้านดอลลาร์ ทีมงานด้านความปลอดภัยของ SlowMist ได้ทำการวิเคราะห์เหตุการณ์นี้ และยืนยันสาเหตุหลักดังนี้: ช่องโหว่เกิดจากตรรกะของฟังก์ชัน calcsupply ที่ใช้คำนวณปริมาณซัพพลายในสัญญา Weighted Stableswap Pool ของ Yearn yETH เนื่องจากมีการดำเนินการทางคณิตศาสตร์ที่ไม่ปลอดภัย ฟังก์ชันนี้จึงอนุญาตให้เกิดการล้นและข้อผิดพลาดจากการปัดเศษระหว่างการคำนวณ ส่งผลให้เกิดความคลาดเคลื่อนอย่างมากในการคูณระหว่างซัพพลายใหม่กับยอดคงเหลือเสมือน ผู้โจมตีสามารถใช้ช่องโหว่นี้ควบคุมสภาพคล่องให้เป็นไปตามค่าที่ต้องการ และสามารถสร้างเหรียญสภาพคล่อง (LP Token) เกินกว่าที่ควรได้รับ ซึ่งนำไปสู่การได้ประโยชน์โดยมิชอบ ขอแนะนำให้เสริมสร้างการทดสอบในกรณีขอบเขต (edge case) และใช้กลไกการคำนวณเชิงคณิตศาสตร์ที่ได้รับการตรวจสอบความปลอดภัย เพื่อป้องกันปัญหาประเภทเดียวกันในสัญญา

PANews 1 ธันวาคม รายงานว่า Yearn ได้ทวีตว่า เหตุการณ์โจมตีที่เกี่ยวข้องกับ yETH ในครั้งนี้ไม่ได้ส่งผลกระทบต่อผลิตภัณฑ์ yCRV.

PANews 1 ธันวาคม ข่าวตามที่ PeckShieldAlert เปิดเผยในแพลตฟอร์ม X ว่า Yearn Finance ได้ประสบกับการโจมตี แฮ็กเกอร์ได้ทำการสร้างเหรียญ yETH แบบไม่จำกัด จนทำให้เงินกองทุนหมดไป ส่งผลให้เกิดความเสียหายประมาณ 9 ล้านดอลลาร์สหรัฐ。其中ประมาณ 1000枚 ETH (ประมาณ 3 ล้านดอลลาร์สหรัฐ) ถูกโอนเข้าที่ Tornado Cash ที่อยู่ของผู้โจมตียังถือครองสินทรัพย์ดิจิทัลที่มีมูลค่าประมาณ 6 ล้านดอลลาร์สหรัฐ.

PANews 1 ธันวาคม รายงานโดย The Block ว่า ผลิตภัณฑ์โทเค็นการสเตคแบบรวม yETH ของ Yearn Finance ถูกโจมตี ผู้โจมตีใช้ช่องโหว่ในการสร้าง yETH ได้เกือบไม่จำกัด โดยการทำธุรกรรมครั้งเดียวทำให้สินทรัพย์ในพูลหมดไป ข้อมูลบน on-chain แสดงให้เห็นว่าผู้โจมตีได้โอนประมาณ 1000 ETH (ประมาณ 3 ล้านดอลลาร์) ไปยังโปรโตคอลผสม Tornado Cash สัญญาหลายฉบับที่ใช้ในการโจมตีได้ทำลายตัวเองหลังจากทำธุรกรรม ขณะนี้ขนาดความเสียหายที่แน่นอนยังไม่ชัดเจน Yearn ระบุว่ากำลังสอบสวนเหตุการณ์นี้ โดย V2 และ V3 ของพวกเขา