Odaily星球日报讯 Yearn Financeは、先週発生したyETHの脆弱性攻撃に関する詳細な事後報告書を発表しました。報告書によると、同社のレガシーstableswap流動性プールに三段階の数値エラーが存在し、このエラーにより攻撃者は「無限に」LPトークンを鋳造し、約900万ドル相当の資産をこの流動性プールから盗み出すことができました。Yearnは、PlumeおよびDineroチームの協力のもと、857.49枚のpxETH(盗まれた資産のおよそ4分の1)を無事に回収したことを確認しています。チームは、回収した資金をyETHの預金者に按分して配分する予定です。この分散型金融プロトコルによれば、今回の脆弱性攻撃は2025年11月30日のブロック23,914,086で発生し、攻撃者は複雑な操作シーケンスを通じて流動性プールの内部パーサーを発散状態に追い込み、最終的に算術的アンダーフローを引き起こしました。攻撃のターゲットは、複数の流動性ステーキングトークン(LSTs)を統合するカスタムstableswapプールと、yETH/WETH Curveプールでした。Yearnは、v2およびv3の金庫やその他の製品には影響がなかったことを強調しています。これらの問題の解決策として、Yearnは修正計画を公表し、パーサーでの明確なドメインチェックの実装、重要部分の危険な算術演算を検証済み算術に置き換えること、プール稼働後のブートストラップロジックの無効化などが含まれています。
