慢雾: la causa raíz del ataque a yearn es que el contrato del pool Yearn YETH presenta operaciones matemáticas inseguras.

Según informa Mars Finance, de acuerdo con la monitorización de SlowMist, el protocolo de finanzas descentralizadas yearn ha sufrido un ataque informático que ha provocado unas pérdidas de aproximadamente 9 millones de dólares. El equipo de seguridad de SlowMist ha analizado el incidente y ha confirmado la causa raíz: la vulnerabilidad se origina en la lógica de la función _calc_supply, utilizada para calcular el suministro en el contrato del pool de intercambio de stablecoins ponderado yETH de Yearn. Debido a operaciones matemáticas inseguras, esta función permite desbordamientos y errores de redondeo durante el proceso de cálculo, lo que provoca desviaciones significativas en el cálculo del producto entre el nuevo suministro y el saldo virtual. Los atacantes aprovecharon este defecto para manipular la liquidez a valores específicos y acuñar en exceso tokens del pool de liquidez (LP), obteniendo así beneficios ilícitos. Se recomienda reforzar las pruebas en escenarios límite y adoptar mecanismos aritméticos validados por seguridad para prevenir vulnerabilidades de alto riesgo como los desbordamientos en protocolos similares. Anteriormente, Yearn publicó una declaración en la que informaba que su pool estable yETH fue atacado el 30 de noviembre a las 21:11 UTC, donde los atacantes utilizaron un contrato personalizado para acuñar grandes cantidades de yETH, causando una pérdida de aproximadamente 8 millones de dólares en el pool y otros 900.000 dólares en el pool yETH-WETH de Curve.