慢雾: السبب الجذري لهجوم yearn هو وجود عمليات حسابية غير آمنة في عقد تجمع Yearn YETH

أفادت تقارير Mars Finance، وبحسب رصد SlowMist، أن بروتوكول التمويل اللامركزي yearn تعرض لهجوم من قِبل قراصنة، مما أدى إلى خسائر تقدر بحوالي 9 ملايين دولار أمريكي. وقد قام فريق أمان SlowMist بتحليل الحادثة وتأكيد السبب الجذري كما يلي: يكمن الخلل في منطق دالة حساب العرض (_calc_supply) ضمن عقد تجمع تبادل العملات المستقرة الموزونة (Weighted Stableswap Pool) الخاص بـ Yearn yETH. بسبب وجود عمليات حسابية غير آمنة، تسمح هذه الدالة بحدوث تجاوز ووقوع أخطاء في التقريب أثناء العمليات الحسابية، مما يؤدي إلى انحراف كبير في حساب حاصل ضرب العرض الجديد مع الرصيد الافتراضي. استغل المهاجمون هذا الخلل للتلاعب بالسيولة إلى قيمة محددة وضخ كميات زائدة من رموز السيولة (LP Tokens) بشكل غير قانوني لتحقيق أرباح غير مشروعة. يُوصى بتعزيز اختبارات حالات الحدود، واستخدام آليات حسابية تم التحقق من أمانها لمنع مثل هذه الثغرات الخطيرة في البروتوكولات المشابهة. ووفقًا لما ذُكر سابقًا، أصدرت Yearn بيانًا يفيد بأن تجمع yETH المستقر قد تعرض لهجوم في 30 نوفمبر الساعة 21:11 بتوقيت UTC، حيث قام المهاجم بصك كميات كبيرة من yETH عبر عقد مخصص، مما أدى إلى خسارة أصول بقيمة حوالي 8 ملايين دولار من التجمع، بالإضافة إلى خسارة تقدر بـ 900 ألف دولار من تجمع yETH-WETH على Curve.