Yearn Finance merinci serangan celah yETH senilai 9 juta dolar AS, mengonfirmasi sebagian aset telah dipulihkan dan mengumumkan rencana perbaikan

ChainCatcher melaporkan, menurut The Block, HumidiFiYearn Finance telah merilis laporan pasca kejadian secara rinci terkait serangan celah yETH minggu lalu, yang mengungkapkan adanya kesalahan numerik tiga tahap pada pool likuiditas stableswap warisan mereka. Kesalahan ini memungkinkan penyerang untuk “mencetak” token LP tanpa batas dan mencuri aset sekitar 9 juta dolar AS dari pool likuiditas tersebut.

Yearn mengonfirmasi bahwa, dengan bantuan tim Plume dan Dinero, mereka berhasil memulihkan 857,49 pxETH, yang setara dengan sekitar seperempat dari aset yang dicuri. Tim berencana untuk mendistribusikan dana yang berhasil dipulihkan tersebut secara proporsional kepada para deposan yETH.

Protokol keuangan terdesentralisasi ini menyatakan bahwa serangan celah tersebut terjadi pada blok 23.914.086 pada 30 November 2025, di mana penyerang melalui serangkaian operasi kompleks memaksa parser internal pool likuiditas masuk ke keadaan divergen dan akhirnya memicu underflow aritmatika. Target serangan ini adalah pool stableswap kustom yang mengagregasi berbagai token likuiditas staking (LSTs), serta pool Curve yETH/WETH.

Yearn menekankan bahwa vault v2 dan v3 serta produk lainnya tidak terpengaruh. Untuk mengatasi masalah ini, Yearn telah mengumumkan rencana perbaikan, termasuk menerapkan pemeriksaan domain yang eksplisit pada parser, mengganti aritmatika yang tidak aman dengan aritmatika yang telah diperiksa pada bagian-bagian penting, serta menonaktifkan logika bootstrapping setelah pool diluncurkan.