据SlowMist安全团队监测披露,12月1日,知名去中心化金融(DeFi)协议Yearn.Finance遭遇严重黑客攻击,造成高达约900万美元的资产损失。
慢雾安全专家已对该安全事件完成深度技术分析,并确认其根本原因:
漏洞具体位于Yearn yETH加权稳定币交换池(Weighted Stableswap Pool)的核心合约中,负责计算供应量的 _calc_supply 函数存在逻辑缺陷。该函数内部采用了不安全的数学运算机制,在特定计算过程中未能有效防范数据溢出与舍入误差。这一漏洞导致新供应量与虚拟余额的乘积计算结果出现严重偏差,使得攻击者得以精确操控流动性至特定数值,并超额铸造大量流动性池(LP)代币,最终实现非法套利。
安全建议:为防范DeFi协议中此类高危算术漏洞,项目方应全面加强智能合约在极端边界场景下的压力测试,并强制采用经过严格安全审计与验证的数学运算库(如SafeMath),以从根本上杜绝溢出等风险。
尾部批注对投资者的影响:
此类安全事件及详细的技术批注,将显著加剧投资者对DeFi协议安全性的担忧,可能导致短期内相关代币价格波动及资金外流。同时,它也警示投资者需更加审慎地评估协议的安全审计历史与风控机制,将安全性作为投资决策的核心考量因素之一。长期来看,推动行业安全标准的提升,有利于构建更可靠的投资环境。