SlowMist: Основна причина атаки на yearn полягає в тому, що в контракті пулу зваженого обміну стейблкоїнів Yearn yETH існували небезпечні математичні операції.

За повідомленням Jinse Finance, згідно з моніторингом SlowMist, 1 грудня децентралізований фінансовий протокол yearn зазнав хакерської атаки, що призвела до втрати близько 9 мільйонів доларів США. Команда безпеки SlowMist провела аналіз цієї події та підтвердила основну причину наступним чином: Вразливість виникла в логіці функції calcsupply, що використовується для обчислення пропозиції у контракті Yearn yETH Weighted Stableswap Pool. Через небезпечні математичні операції, ця функція під час розрахунків дозволяла переповнення й помилки округлення, що призводило до суттєвого відхилення у добутку нової пропозиції та віртуального балансу. Зловмисник скористався цим недоліком, щоб маніпулювати ліквідністю до певного значення й надмірно випустити токени пулу ліквідності (LP), отримавши незаконний прибуток. Рекомендується посилити тестування крайових сценаріїв і впроваджувати математичні механізми, що пройшли безпекову перевірку, з метою запобігання подібним високоризиковим вразливостям, таким як переповнення, у протоколах цього типу.