SlowMist: Yearn への攻撃の根本的な原因は、Yearn yETH 加重ステーブルコイン交換プール契約における安全でない数学的演算でした。

SlowMistのモニタリングによると、12月1日、分散型金融プロトコルyearnがハッカー攻撃を受け、約900万ドルの損失が発生しました。SlowMistのセキュリティチームはこのインシデントを分析し、根本原因を次のように確認しました。この脆弱性は、Yearn yETH Weighted Stableswap Poolコントラクトの供給量計算に使用される「_calc_supply」関数ロジックに起因しています。安全でない数学演算のため、この関数は計算中にオーバーフローと丸め誤差を許容し、新規供給量と仮想残高の積の計算に大きな偏差をもたらしました。攻撃者はこの欠陥を悪用して流動性を特定の値に操作し、流動性プール（LP）トークンを過剰に発行することで、不正に利益を得る可能性があります。類似プロトコルに見られるオーバーフローなどの同様の高リスク脆弱性を防ぐため、エッジケーステストを強化し、安全に検証された算術演算メカニズムを採用することが推奨されます。