SlowMist: Alasan utama yearn mengalami serangan adalah karena kontrak pool Yearn yETH memiliki operasi matematika yang tidak aman

Jinse Finance melaporkan, menurut pemantauan SlowMist, pada 1 Desember, protokol keuangan terdesentralisasi yearn mengalami serangan peretas yang menyebabkan kerugian sekitar 9 juta dolar AS. Tim keamanan SlowMist telah menganalisis insiden ini dan mengonfirmasi penyebab utamanya sebagai berikut: Kerentanan berasal dari logika fungsi _calc_supply yang digunakan untuk menghitung pasokan pada kontrak Weighted Stableswap Pool Yearn yETH. Karena adanya operasi matematika yang tidak aman, fungsi ini memungkinkan terjadinya overflow dan kesalahan pembulatan selama proses perhitungan, sehingga menyebabkan deviasi signifikan dalam hasil perkalian antara pasokan baru dan saldo virtual. Penyerang memanfaatkan cacat ini untuk memanipulasi likuiditas ke nilai tertentu dan mencetak token pool likuiditas (LP) secara berlebihan untuk mendapatkan keuntungan ilegal. Disarankan untuk memperkuat pengujian skenario batas dan menggunakan mekanisme operasi aritmatika yang telah diverifikasi keamanannya guna mencegah kerentanan berisiko tinggi seperti overflow pada protokol serupa.