Yearn Finance 詳細說明 900 萬美元 yETH 漏洞攻擊，確認部分資產已恢復並公布修復計劃

ChainCatcher消息，根據The Block報導，HumidiFiYearn Finance發布了針對上週yETH漏洞攻擊的詳細事後報告，指出其遺留的stableswap流動性池中存在一個三階段數值錯誤，該錯誤導致攻擊者能夠「無限鑄造」LP代幣，並從該流動性池中盜取了約900萬美元資產。

Yearn確認，已在Plume和Dinero團隊的協助下，成功追回857.49枚pxETH，約佔被盜資產的四分之一。團隊計劃將追回的資金按比例分配給yETH的儲戶。

該去中心化金融協議表示，該漏洞攻擊發生在2025年11月30日的區塊23,914,086，攻擊者通過複雜的操作序列，迫使流動性池的內部解析器進入發散狀態，並最終觸發算術下溢。該攻擊目標是聚合多種流動性質押代幣（LSTs）的自訂stableswap池，以及一個yETH/WETH Curve池。

Yearn強調，其v2和v3保險庫及其他產品未受影響。為解決這些問題，Yearn公布了修復計劃，包括在解析器上實施明確的域檢查、用受檢查的算術取代關鍵部分中的不安全算術，以及在池上線後禁用引導邏輯等。