Odaily星球日報訊 Yearn Finance 發布了針對上週 yETH 漏洞攻擊的詳細事後報告，指出其遺留的 stableswap 流動性池中存在一個三階段數值錯誤，該錯誤導致攻擊者能夠「無限鑄造」LP 代幣，並從該流動性池中盜取了約 900 萬美元資產。Yearn 確認，已在 Plume 和 Dinero 團隊的協助下，成功追回 857.49 枚 pxETH，約占被盜資產的四分之一。團隊計劃將追回的資金按比例分配給 yETH 的儲戶。該去中心化金融協議表示，該漏洞攻擊發生在 2025 年 11 月 30 日的區塊 23,914,086，攻擊者通過複雜的操作序列，迫使流動性池的內部解析器

PANews 12月8日消息，據X平台討論，多位開發者認為yETH攻擊雖被歸因於模糊測試（fuzzing）發現，但實際攻擊路徑複雜，可能是在發現可利用原始漏洞後逐步放大危害。Curve創辦人Michael

金色財經報導，據SlowMist監測，12月1日，去中心化金融協議yearn遭遇黑客攻擊，造成約900萬美元損失。慢霧安全團隊對該事件進行了分析，確認根本原因如下： 漏洞源於Yearn yETH加權穩定幣交換池（Weighted Stableswap Pool）合約中用於計算供應量的calcsupply函數邏輯。由於存在不安全的數學運算，該函數在計算過程中允許溢出和捨入誤差，導致新供應量與虛擬餘額的乘積計算出現顯著偏差。攻擊者利用此缺陷可將流動性操控至特定數值，並超額鑄造流動性池（LP）代幣，從而非法獲利。 建議加強邊界場景測試，並採用經過安全驗證的算術運算機制，以防範同類協

PANews 12月1日消息，Yearn發推稱，本次yETH相關攻擊事件未波及yCRV產品。

PANews 12月1日消息，據PeckShieldAlert在X平台披露，Yearn Finance遭遇攻擊，黑客通過無限鑄造yETH耗盡資金池，造成約900萬美元損失。其中約1000枚ETH（約合300萬美元）被轉入Tornado Cash，攻擊者地址仍持有價值約600萬美元的加密資產。

PANews 12月1日消息，據The Block報道，Yearn Finance旗下聚合質押代幣產品yETH遭攻擊，攻擊者通過漏洞幾乎無限鑄造yETH，單筆交易耗盡池中資產。鏈上數據顯示，攻擊者隨後將約1000枚ETH（約合300萬美元）轉入混幣協議Tornado Cash。多個用於攻擊的合約在交易後自毀。目前具體損失規模仍不明，Yearn表示正調查事件，其V2與V3