慢霧：yearn 遭遇攻擊的根本原因是 Yearn yETH 池合約存在不安全的數學運算

Jinse Finance報導，據SlowMist監測，12月1日，去中心化金融協議yearn遭遇駭客攻擊，造成約900萬美元損失。SlowMist安全團隊對該事件進行了分析，確認根本原因如下：漏洞源於Yearn yETH加權穩定幣交換池（Weighted Stableswap Pool）合約中用於計算供應量的_calc_supply函數邏輯。由於存在不安全的數學運算，該函數在計算過程中允許溢位和捨入誤差，導致新供應量與虛擬餘額的乘積計算出現顯著偏差。攻擊者利用此缺陷可將流動性操控至特定數值，並超額鑄造流動性池（LP）代幣，從而非法獲利。建議加強邊界場景測試，並採用經過安全驗證的算術運算機制，以防範同類協議中此類溢位等高危漏洞。