SlowMist：yearnが攻撃を受けた根本的な原因は、Yearn yETHプールコントラクトに安全でない数学的計算が存在していたことです。

Jinse Financeの報道によると、SlowMistの監視によれば、12月1日に分散型金融プロトコルyearnがハッキング攻撃を受け、約900万ドルの損失が発生しました。SlowMistセキュリティチームがこの事件を分析した結果、根本的な原因は以下の通りです。脆弱性はYearn yETH Weighted Stableswap Poolコントラクト内で供給量を計算する_calc_supply関数のロジックに起因しています。この関数には安全でない数値演算が存在し、計算過程でオーバーフローや丸め誤差が許容されていたため、新しい供給量と仮想残高の積の計算に大きな偏差が生じました。攻撃者はこの欠陥を利用して流動性を特定の数値に操作し、流動性プール（LP）トークンを過剰に鋳造することで不正に利益を得ていました。類似プロトコルにおけるこのようなオーバーフローなどの高リスクな脆弱性を防ぐため、境界ケースのテストを強化し、安全性が検証された算術演算メカニズムを採用することが推奨されます。