느린 안개: yearn이 공격을 당한 근본 원인은 Yearn yETH 풀 계약에 안전하지 않은 수학 연산이 존재하기 때문입니다

据 SlowMist 监测，去中心化金融协议 yearn 遭遇黑客攻击，造成约 900 万美元损失。

슬로우미스트 모니터링에 따르면, 탈중앙화 금융 프로토콜 yearn이 해킹 공격을 받아 약 900만 달러의 손실을 입었습니다.

慢雾安全团队对该事件进行了分析，确认根本原因如下：漏洞源于 Yearn yETH 加权稳定币交换池（Weighted Stableswap Pool）合约中用于计算供应量的 calcsupply 函数逻辑。由于存在不安全的数学运算，该函数在计算过程中允许溢出和舍入误差，导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值，并超额铸造流动性池（LP）代币，从而非法获利。建议加强边界场景测试，并采用经过安全验证的算术运算机制，以防范同类协议中此类溢出等高危漏洞。

슬로우미스트 보안 팀은 이 사건을 분석한 결과, 근본 원인은 Yearn yETH 가중 안정화 코인 교환 풀(Weighted Stableswap Pool) 계약에서 공급량을 계산하는 calcsupply 함수의 논리에 있는 취약점이라고 확인했습니다. 불안전한 수학 연산으로 인해 이 함수는 계산 과정에서 오버플로우와 반올림 오류를 허용하여 새로운 공급량과 가상 잔액의 곱 계산에서 상당한 편차를 초래했습니다. 공격자는 이 결함을 이용해 유동성을 특정 값으로 조작하고 유동성 풀(LP) 토큰을 초과 발행하여 불법적으로 이익을 얻을 수 있었습니다. 유사한 프로토콜에서 이러한 오버플로우와 같은 고위험 취약점을 방지하기 위해 경계 시나리오 테스트를 강화하고 보안 검증된 산술 연산 메커니즘을 채택할 것을 권장합니다.

此前消息，Yearn 发布声明称，其 yETH 稳定池于 11 月 30 日 21:11 UTC 遭遇攻击，攻击者通过自定义合约大量铸造 yETH，导致池内约 800 万美元资产受损，另有约 90 万美元损失来自 Curve 上的 yETH-WETH 池。

이전에 보도된 바에 따르면, Yearn은 성명서를 발표하고 yETH 안정화 풀이 11월 30일 21:11 UTC에 공격을 받았다고 밝혔습니다. 공격자는 사용자 정의 계약을 통해 대량으로 yETH를 발행하여 풀 내 약 800만 달러의 자산이 손실되었으며, 추가로 약 90만 달러의 손실은 Curve의 yETH-WETH 풀에서 발생했습니다.