Yearn协议遭黑客攻击,损失约900万美元

据安全机构SlowMist分析,12月1日去中心化金融协议Yearn遭遇黑客攻击,造成约900万美元损失。调查发现,攻击者利用了Yearn的yETH加权稳定币兑换池中供应量计算函数存在的数学漏洞。

SlowMist指出,该函数在计算过程中允许溢出误差和舍入偏差,导致实际供应量与虚拟余额之间产生显著差异。攻击者通过操纵流动性并超额发行流动性提供者代币,从中获取不正当收益。

Yearn官方声明证实,yETH池于UTC时间11月30日21时11分遭受攻击,造成约800万美元直接损失,并在yETH-WETH Curve池中引发约90万美元的连带损失。

安全建议

为防范类似事件,SlowMist建议强化边界场景测试,并采用经过安全验证的算术运算方法。