SlowMist: Nguyên nhân gốc rễ khiến yearn bị tấn công là do hợp đồng pool Yearn yETH tồn tại phép toán không an toàn.

Jinse Finance đưa tin, theo giám sát của SlowMist, vào ngày 1 tháng 12, giao thức tài chính phi tập trung yearn đã bị tấn công bởi hacker, gây thiệt hại khoảng 9 triệu USD. Nhóm an ninh SlowMist đã phân tích sự kiện này và xác nhận nguyên nhân gốc rễ như sau: Lỗ hổng bắt nguồn từ logic của hàm _calc_supply dùng để tính toán nguồn cung trong hợp đồng Weighted Stableswap Pool của Yearn yETH. Do phép toán không an toàn, hàm này cho phép xảy ra tràn số và sai số làm tròn trong quá trình tính toán, dẫn đến sai lệch đáng kể trong phép nhân giữa nguồn cung mới và số dư ảo. Kẻ tấn công đã lợi dụng lỗ hổng này để điều chỉnh thanh khoản về một giá trị nhất định và đúc vượt mức token thanh khoản (LP), từ đó thu lợi bất hợp pháp. Đề xuất tăng cường kiểm thử các trường hợp biên và sử dụng cơ chế toán học đã được kiểm chứng về mặt an toàn để phòng tránh các lỗ hổng nguy hiểm tương tự trong các giao thức cùng loại.