SlowMist: A razão fundamental para o ataque ao yearn foi a existência de operações matemáticas inseguras no contrato do pool Yearn yETH.

De acordo com reportagem da Jinse Finance, monitoramento da SlowMist revelou que, em 1º de dezembro, o protocolo de finanças descentralizadas yearn sofreu um ataque hacker, resultando em uma perda de aproximadamente 9 milhões de dólares. A equipe de segurança da SlowMist analisou o incidente e confirmou a seguinte causa raiz: A vulnerabilidade originou-se na lógica da função _calc_supply, utilizada para calcular o fornecimento no contrato do Weighted Stableswap Pool do Yearn yETH. Devido a operações matemáticas inseguras, essa função permitia estouro e erros de arredondamento durante o cálculo, levando a desvios significativos no produto entre o novo fornecimento e o saldo virtual. Os atacantes exploraram essa falha para manipular a liquidez para valores específicos e cunhar excessivamente tokens de liquidez do pool (LP), obtendo assim lucros ilícitos. Recomenda-se reforçar os testes de cenários de borda e adotar mecanismos aritméticos validados em termos de segurança, a fim de prevenir vulnerabilidades críticas como estouros em protocolos semelhantes.