Home > Quick > Body

慢雾:yearn遭遇攻击的根本原因是Yearn yETH池合约存在不安全的数学运算

clock
2025-12-05 02:53:56

据SlowMist安全团队监测披露,12月1日,知名去中心化金融(DeFi)协议Yearn.Finance遭遇严重黑客攻击,造成高达约900万美元的资产损失。



慢雾安全专家已对该安全事件完成深度技术分析,并确认其根本原因:
漏洞具体位于Yearn yETH加权稳定币交换池(Weighted Stableswap Pool)的核心合约中,负责计算供应量的 _calc_supply 函数存在逻辑缺陷。该函数内部采用了不安全的数学运算机制,在特定计算过程中未能有效防范数据溢出与舍入误差。这一漏洞导致新供应量与虚拟余额的乘积计算结果出现严重偏差,使得攻击者得以精确操控流动性至特定数值,并超额铸造大量流动性池(LP)代币,最终实现非法套利。



安全建议:为防范DeFi协议中此类高危算术漏洞,项目方应全面加强智能合约在极端边界场景下的压力测试,并强制采用经过严格安全审计与验证的数学运算库(如SafeMath),以从根本上杜绝溢出等风险。



尾部批注对投资者的影响:
此类安全事件及详细的技术批注,将显著加剧投资者对DeFi协议安全性的担忧,可能导致短期内相关代币价格波动及资金外流。同时,它也警示投资者需更加审慎地评估协议的安全审计历史与风控机制,将安全性作为投资决策的核心考量因素之一。长期来看,推动行业安全标准的提升,有利于构建更可靠的投资环境。

Disclaimer:
1. The information provided does not constitute investment advice. Investors should make independent decisions and bear all risks themselves.
2. The copyright of this content belongs to the original author. The views expressed herein are solely those of the author and do not represent the stance or position of this website.
New Tab Page - Desk3 | Plugin
Stay ahead of the game in the cryptocurrency space.