Yearn Finance nagdetalye ng $9 milyon yETH vulnerability attack, kinumpirma ang partial asset recovery at inanunsyo ang plano para sa pag-aayos

Ayon sa ChainCatcher at iniulat ng The Block, inilabas ng HumidiFiYearn Finance ang detalyadong post-mortem report kaugnay ng yETH vulnerability attack noong nakaraang linggo. Ipinunto ng ulat na mayroong three-stage numerical error sa kanilang legacy stableswap liquidity pool, na nagbigay-daan sa attacker na "walang limitasyong mag-mint" ng LP tokens at nakapagnakaw ng humigit-kumulang 9 million US dollars na assets mula sa nasabing liquidity pool.

Kumpirmado ng Yearn na, sa tulong ng Plume at Dinero teams, matagumpay nilang nabawi ang 857.49 pxETH, na humigit-kumulang isang-kapat ng mga ninakaw na assets. Plano ng team na ipamahagi ang nabawing pondo nang proporsyonal sa mga depositors ng yETH.

Ayon sa decentralized finance protocol, naganap ang vulnerability attack noong block 23,914,086 sa Nobyembre 30, 2025. Sa pamamagitan ng komplikadong sequence ng mga operasyon, napilit ng attacker ang internal parser ng liquidity pool na pumasok sa divergent state at sa huli ay nag-trigger ng arithmetic underflow. Target ng atake ang custom stableswap pool na nag-aaggregate ng iba't ibang liquid staking tokens (LSTs), pati na rin ang isang yETH/WETH Curve pool.

Binigyang-diin ng Yearn na ang kanilang v2 at v3 vaults at iba pang mga produkto ay hindi naapektuhan. Upang maresolba ang mga isyung ito, inanunsyo ng Yearn ang mga plano sa pag-aayos, kabilang ang pagpapatupad ng explicit domain checks sa parser, pagpapalit ng unsafe arithmetic ng checked arithmetic sa mga critical na bahagi, at pag-disable ng bootstrap logic pagkatapos ng pool launch.