ニュース

ChainCatcherのニュースによると、The Blockの報道で、HumidiFiYearn Financeは先週発生したyETHの脆弱性攻撃に関する詳細な事後レポートを発表しました。このレポートでは、同社のレガシーstableswap流動性プールに三段階の数値エラーが存在し、このエラーにより攻撃者が「無限に」LPトークンを鋳造し、約900万ドル相当の資産をこの流動性プールから盗み出したことが指摘されています。 Yearnは、PlumeおよびDineroチームの協力のもと、857.49枚のpxETH（盗まれた資産の約4分の1）を無事に回収したことを確認しました。チームは、回収した資金をyETHの預金者に比例配分する計画です。 この分散型金融プロトコルは、今回の脆弱性攻撃が2025年11月30日のブロック23,914,086で発生し、攻撃者が複雑な操作シーケンスを通じて流動性プールの内部パーサーを発散状態に追い込み、最終的に算術的アンダーフローを引き起こしたと述べています。攻撃のターゲットは、複数の流動性ステーキングトークン（LSTs）を集約するカスタムstableswapプールおよびyETH/WETH Curveプールでした。 Yearnは、同社のv2およびv3ボールトやその他のプロダクトが影響を受けていないことを強調しています。これらの問題に対処するため、Yearnは修正計画を発表し、パーサーに明確なドメインチェックを実装すること、重要な部分で安全でない算術を検査済み算術に置き換えること、プールのローンチ後にブートストラップロジックを無効化することなどを含んでいます。