SlowMist: A razão fundamental para o ataque à Yearn foi a existência de operações matemáticas inseguras no contrato do pool de troca de stablecoins ponderado Yearn yETH.

Segundo notícia da Jinse Finance, de acordo com o monitoramento da SlowMist, no dia 1 de dezembro, o protocolo de finanças descentralizadas yearn foi alvo de um ataque hacker, resultando numa perda de cerca de 9 milhões de dólares. A equipa de segurança da SlowMist analisou o incidente e confirmou a causa principal:

A vulnerabilidade teve origem na lógica da função calcsupply, responsável pelo cálculo da oferta, presente no contrato do Weighted Stableswap Pool (pool de troca de stablecoins ponderada) do Yearn yETH. Devido a operações matemáticas inseguras, a função permitia estouros e erros de arredondamento durante o cálculo, levando a desvios significativos no produto entre a nova oferta e o saldo virtual. Os atacantes exploraram esta falha para manipular a liquidez para determinados valores e cunhar em excesso tokens de liquidez (LP) do pool, obtendo assim lucro ilícito.

Recomenda-se reforçar os testes de cenários de limite e adotar mecanismos aritméticos já validados em termos de segurança, de modo a prevenir vulnerabilidades críticas deste tipo, como estouros, em protocolos semelhantes.