BTC $62,035.99 -2.92%
ETH $1,758.72 -2.88%
BNB $564.16 -2.08%
XRP $1.05 -3.29%
SOL $74.34 -3.52%
TRX $0.3248 -1.97%
DOGE $0.0713 -2.30%
ADA $0.1561 -4.38%
BCH $233.94 -4.28%
LINK $7.82 -2.85%
HYPE $62.82 -7.20%
AAVE $93.64 -4.20%
SUI $0.7110 -3.57%
XLM $0.1797 -3.98%
ZEC $491.96 -8.57%
BTC $62,035.99 -2.92%
ETH $1,758.72 -2.88%
BNB $564.16 -2.08%
XRP $1.05 -3.29%
SOL $74.34 -3.52%
TRX $0.3248 -1.97%
DOGE $0.0713 -2.30%
ADA $0.1561 -4.38%
BCH $233.94 -4.28%
LINK $7.82 -2.85%
HYPE $62.82 -7.20%
AAVE $93.64 -4.20%
SUI $0.7110 -3.57%
XLM $0.1797 -3.98%
ZEC $491.96 -8.57%

慢雾:yearn 遭遇攻击的根本原因是 Yearn yETH 池合约存在不安全的数学运算

2025-12-05 10:57:54
收藏

ChainCatcher 消息,据 SlowMist 监测,去中心化金融协议 yearn 遭遇黑客攻击,造成约 900 万美元损失。

慢雾安全团队对该事件进行了分析,确认根本原因如下:漏洞源于 Yearn yETH 加权稳定币交换池(Weighted Stableswap Pool)合约中用于计算供应量的 _calc_supply 函数逻辑。由于存在不安全的数学运算,该函数在计算过程中允许溢出和舍入误差,导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值,并超额铸造流动性池(LP)代币,从而非法获利。建议加强边界场景测试,并采用经过安全验证的算术运算机制,以防范同类协议中此类溢出等高危漏洞。

此前消息,Yearn 发布声明称,其 yETH 稳定池于 11 月 30 日 21:11 UTC 遭遇攻击,攻击者通过自定义合约大量铸造 yETH,导致池内约 800 万美元资产受损,另有约 90 万美元损失来自 Curve 上的 yETH-WETH 池。

app_icon
ChainCatcher 与创新者共建Web3世界