金色財經報導,據SlowMist監測,12月1日,去中心化金融協議yearn遭遇駭客攻擊,造成約900萬美元損失。慢霧安全團隊對該事件進行了分析,確認根本原因如下: 漏洞源於Yearn yETH加權穩定幣交換池(Weighted Stableswap Pool)合約中用於計算供應量的calcsupply函數邏輯。由於存在不安全的數學運算,該函數在計算過程中允許溢出和捨入誤差,導致新供應量與虛擬餘額的乘積計算出現顯著偏差。攻擊者利用此缺陷可將流動性操控至特定數值,並超額鑄造流動性池(LP)代幣,從而非法獲利。 建議加強邊界場景測試,並採用經過安全驗證的算術運算機制,以防範同類協議中此類溢出等高危漏洞。
