SlowMist : La cause fondamentale de l'attaque contre yearn est la présence d'opérations mathématiques non sécurisées dans le contrat du pool Yearn yETH.

Selon un rapport de Jinse Finance, d'après la surveillance de SlowMist, le 1er décembre, le protocole de finance décentralisée yearn a été victime d'une attaque de hacker, entraînant une perte d'environ 9 millions de dollars. L'équipe de sécurité de SlowMist a analysé cet incident et a confirmé la cause fondamentale comme suit : la faille provient de la logique de la fonction _calc_supply utilisée pour calculer l'offre dans le contrat du Weighted Stableswap Pool de Yearn yETH. En raison d'opérations mathématiques non sécurisées, cette fonction permet un dépassement de capacité et des erreurs d'arrondi lors du calcul, ce qui entraîne un écart significatif dans le produit du nouvel approvisionnement et du solde virtuel. Les attaquants ont exploité cette faille pour manipuler la liquidité à une valeur spécifique et frapper de manière excessive des tokens de pool de liquidité (LP), réalisant ainsi des profits illégaux. Il est recommandé de renforcer les tests des scénarios limites et d'adopter des mécanismes arithmétiques vérifiés pour la sécurité afin de prévenir ce type de vulnérabilités critiques, telles que les dépassements de capacité, dans des protocoles similaires.