SlowMist: Первопричиной атаки на Yearn стали небезопасные математические операции в контракте пула обмена взвешенных стейблкоинов Yearn yETH.

Согласно данным мониторинга SlowMist, 1 декабря протокол децентрализованного финансирования yearn подвергся хакерской атаке, в результате которой был убыток около 9 миллионов долларов США. Команда безопасности SlowMist проанализировала инцидент и подтвердила первопричину следующим образом: уязвимость возникла из-за логики функции `_calc_supply`, используемой для расчета предложения в контракте Yearn yETH Weighted Stableswap Pool. Из-за небезопасных математических операций эта функция допускала ошибки переполнения и округления во время расчетов, что приводило к значительному отклонению в расчете произведения нового предложения и виртуального баланса. Злоумышленники могли воспользоваться этой уязвимостью для манипулирования ликвидностью до определенного значения и перечеканки токенов пула ликвидности (LP), тем самым незаконно получая прибыль. Рекомендуется усилить тестирование в крайних случаях и внедрить надежные проверенные механизмы арифметических операций для предотвращения подобных уязвимостей с высоким уровнем риска, таких как переполнения, обнаруженные в аналогичных протоколах.