Yearn Finance szczegółowo opisuje atak na yETH z luką o wartości 9 milionów dolarów, potwierdza odzyskanie części aktywów i ogłasza plan naprawczy

ChainCatcher donosi, że według The Block, HumidiFiYearn Finance opublikował szczegółowy raport po ataku na yETH, do którego doszło w zeszłym tygodniu. Wskazano w nim, że w odziedziczonym stableswap poolu płynności występował błąd numeryczny w trzech etapach, który umożliwił atakującemu „nieskończone bicie” tokenów LP i kradzież aktywów o wartości około 9 milionów dolarów z tego poolu płynności.

Yearn potwierdził, że przy wsparciu zespołów Plume i Dinero udało się odzyskać 857,49 pxETH, co stanowi około jedną czwartą skradzionych aktywów. Zespół planuje proporcjonalnie rozdzielić odzyskane środki pomiędzy deponentów yETH.

Ten zdecentralizowany protokół finansowy poinformował, że atak miał miejsce w bloku 23,914,086 w dniu 30 listopada 2025 roku. Atakujący, wykorzystując złożoną sekwencję operacji, zmusił wewnętrzny parser poolu płynności do wejścia w stan rozbieżny, co ostatecznie wywołało arytmetyczne niedomiar. Celem ataku był niestandardowy stableswap pool agregujący różne tokeny płynnościowe stakingu (LSTs) oraz pool yETH/WETH Curve.

Yearn podkreślił, że jego skarbce v2 i v3 oraz inne produkty nie zostały dotknięte atakiem. Aby rozwiązać te problemy, Yearn ogłosił plan naprawczy, obejmujący wdrożenie wyraźnej kontroli domeny na parserze, zastąpienie niebezpiecznej arytmetyki sprawdzaną arytmetyką w kluczowych częściach oraz wyłączenie logiki bootstrappingu po uruchomieniu poolu.