Yearn Financeは900万ドルのyETHの脆弱性攻撃を詳述し、一部の資産の回復を確認し、修正計画を発表しました。

Yearn Finance は、先週の yETH 脆弱性攻撃に関する詳細な事後報告を発表し、残された stableswap 流動性プールに三段階の数値エラーが存在することを指摘しました。このエラーにより、攻撃者は「無限に鋳造」LP トークンを作成し、その流動性プールから約 900 万ドルの資産を盗みました。Yearn は、Plume および Dinero チームの協力を得て、857.49 枚の pxETH を成功裏に回収したことを確認しており、これは盗まれた資産の約 4 分の 1 に相当します。チームは、回収した資金を yETH の預金者に比例配分する計画です。

この分散型金融プロトコルは、脆弱性攻撃が 2025 年 11 月 30 日のブロック 23,914,086 で発生したことを示しており、攻撃者は複雑な操作シーケンスを通じて流動性プールの内部パーサーを発散状態に追い込み、最終的に算術のアンダーフローを引き起こしました。この攻撃の対象は、複数の流動性ステーキングトークン（LSTs）を集約するカスタム stableswap プールと、yETH/WETH Curve プールです。Yearn は、v2 および v3 の保管庫やその他の製品は影響を受けていないと強調しています。これらの問題を解決するために、Yearn は修正計画を発表し、パーサーに明示的なドメインチェックを実装し、重要な部分の不安全な算術をチェックされた算術に置き換え、プールのオンライン後にブートロジックを無効にするなどの対策を講じることを明らかにしました。