SlowMist: السبب الجذري لهجوم yearn هو وجود عمليات حسابية غير آمنة في عقد Yearn yETH Pool.

أفادت Jinse Finance أنه وفقًا لمراقبة SlowMist، تعرض بروتوكول التمويل اللامركزي yearn لهجوم من قبل قراصنة في 1 ديسمبر، مما أدى إلى خسارة تقارب 9 ملايين دولار. قام فريق أمان SlowMist بتحليل هذا الحدث، وأكد السبب الجذري كما يلي: نشأ الخلل من منطق دالة _calc_supply المستخدمة لحساب العرض في عقد Yearn yETH Weighted Stableswap Pool. بسبب العمليات الرياضية غير الآمنة، سمحت هذه الدالة بحدوث تجاوزات وأخطاء تقريب أثناء الحساب، مما أدى إلى انحراف كبير في حساب حاصل ضرب العرض الجديد والرصيد الافتراضي. استغل المهاجمون هذا الخلل للتحكم في السيولة إلى قيمة محددة وصك رموز LP الخاصة بمجمع السيولة بشكل مفرط، محققين أرباحًا غير مشروعة. يُوصى بتعزيز اختبارات سيناريوهات الحدود، واعتماد آليات حسابية تم التحقق من أمانها، للوقاية من مثل هذه الثغرات الخطيرة في بروتوكولات مماثلة.