慢雾: السبب الجذري لهجوم yearn هو وجود عمليات رياضية غير آمنة في عقد مجمع تبادل العملات المستقرة الموزونة Yearn yETH.

أفادت تقارير من Jinse Finance، وبحسب مراقبة SlowMist، أنه في 1 ديسمبر، تعرض بروتوكول التمويل اللامركزي yearn لهجوم من قبل قراصنة، مما أدى إلى خسارة تقارب 9 ملايين دولار أمريكي. قام فريق أمان SlowMist بتحليل هذا الحدث، وأكد السبب الجذري كما يلي: ينبع الخلل من وظيفة calcsupply في عقد تجمع تبادل العملات المستقرة المرجحة (Weighted Stableswap Pool) الخاص بـ Yearn yETH والمستخدمة لحساب العرض. بسبب العمليات الحسابية غير الآمنة، تسمح هذه الوظيفة بحدوث تجاوز السعة وأخطاء التقريب أثناء عملية الحساب، مما يؤدي إلى انحراف كبير في نتيجة عملية ضرب العرض الجديد في الرصيد الافتراضي. استغل المهاجمون هذا الخلل للتحكم في السيولة إلى قيمة معينة وسك عملات LP (سيولة التجمع) بشكل مفرط، وبالتالي تحقيق أرباح غير مشروعة. يوصى بتعزيز اختبارات سيناريوهات الحدود، واعتماد آليات حسابية تم التحقق من أمانها، للوقاية من ثغرات خطيرة مشابهة مثل تجاوز السعة في بروتوكولات مماثلة.