SlowMist: Der Hauptgrund für den Angriff auf yearn war, dass der Yearn yETH-Pool-Vertrag unsichere mathematische Berechnungen enthielt.

Jinse Finance berichtete, dass laut Überwachung durch SlowMist am 1. Dezember das dezentrale Finanzprotokoll yearn Opfer eines Hackerangriffs wurde, was zu einem Verlust von etwa 9 Millionen US-Dollar führte. Das Sicherheitsteam von SlowMist analysierte den Vorfall und bestätigte die folgende Hauptursache: Die Schwachstelle lag in der Logik der Funktion _calc_supply, die zur Berechnung des Angebots im Yearn yETH Weighted Stableswap Pool Contract verwendet wird. Aufgrund unsicherer mathematischer Operationen erlaubte diese Funktion während der Berechnung Überläufe und Rundungsfehler, was zu erheblichen Abweichungen bei der Berechnung des Produkts aus neuem Angebot und virtuellem Saldo führte. Angreifer konnten diese Schwachstelle ausnutzen, um die Liquidität auf bestimmte Werte zu manipulieren und übermäßig viele Liquiditätspool-(LP)-Token zu prägen, um sich illegal zu bereichern. Es wird empfohlen, die Tests für Grenzfälle zu verstärken und geprüfte arithmetische Mechanismen zu verwenden, um solche kritischen Schwachstellen wie Überläufe in ähnlichen Protokollen zu verhindern.