SlowMist: A razão fundamental para o ataque ao yearn foi a existência de operações matemáticas inseguras no contrato do pool Yearn YETH.

Notícia do Mars Finance: Segundo monitorização da SlowMist, o protocolo de finanças descentralizadas yearn foi alvo de um ataque informático, resultando numa perda de cerca de 9 milhões de dólares. A equipa de segurança da SlowMist analisou o incidente e confirmou a seguinte causa raiz: a vulnerabilidade teve origem na lógica da função _calc_supply do contrato do Weighted Stableswap Pool (pool de troca de stablecoins com pesos) do Yearn yETH, utilizada para calcular a oferta. Devido a operações matemáticas inseguras, esta função permitia overflows e erros de arredondamento durante o cálculo, levando a desvios significativos na multiplicação entre a nova oferta e o saldo virtual. O atacante explorou esta falha para manipular a liquidez para valores específicos e cunhar em excesso tokens de LP (liquidity pool), obtendo assim lucro ilícito. Recomenda-se o reforço dos testes para cenários-limite e a adoção de mecanismos aritméticos auditados e seguros, de forma a prevenir vulnerabilidades críticas de overflow em protocolos semelhantes. Em comunicado anterior, a Yearn afirmou que a sua pool de stablecoins yETH foi atacada a 30 de novembro às 21:11 UTC, tendo o atacante utilizado um contrato personalizado para cunhar grandes quantidades de yETH, causando um prejuízo de cerca de 8 milhões de dólares na pool, e mais cerca de 900 mil dólares de perdas provenientes da pool yETH-WETH na Curve.