SlowMist: La causa fundamental del ataque a yearn fue la existencia de operaciones matemáticas inseguras en el contrato del pool Yearn yETH.

Según un informe de Jinse Finance, SlowMist detectó que el 1 de diciembre, el protocolo de finanzas descentralizadas yearn fue víctima de un ataque hacker, resultando en una pérdida de aproximadamente 9 millones de dólares. El equipo de seguridad de SlowMist analizó el incidente y confirmó la causa raíz: la vulnerabilidad se originó en la lógica de la función _calc_supply utilizada para calcular el suministro en el contrato del Weighted Stableswap Pool de Yearn yETH. Debido a operaciones matemáticas inseguras, esta función permitía desbordamientos y errores de redondeo durante el cálculo, lo que provocaba desviaciones significativas en el producto entre el nuevo suministro y el saldo virtual. Los atacantes aprovecharon este defecto para manipular la liquidez a valores específicos y acuñar en exceso tokens de liquidez del pool (LP), obteniendo así ganancias ilícitas. Se recomienda fortalecer las pruebas en escenarios límite y adoptar mecanismos de operaciones aritméticas validadas por seguridad para prevenir vulnerabilidades críticas similares por desbordamiento en protocolos de este tipo.