SlowMist: Główną przyczyną ataku na yearn było niebezpieczne działanie matematyczne w kontrakcie Yearn yETH pool.

Jinse Finance poinformowało, że według monitoringu SlowMist, 1 grudnia zdecentralizowany protokół finansowy yearn padł ofiarą ataku hakerskiego, powodując straty w wysokości około 9 milionów dolarów. Zespół bezpieczeństwa SlowMist przeanalizował to zdarzenie i potwierdził następującą główną przyczynę: Luka wynikała z logiki funkcji _calc_supply używanej do obliczania podaży w kontrakcie Yearn yETH Weighted Stableswap Pool. Ze względu na niebezpieczne operacje matematyczne funkcja ta podczas obliczeń dopuszczała przepełnienia i błędy zaokrągleń, co prowadziło do znacznych odchyleń w obliczaniu iloczynu nowej podaży i wirtualnego salda. Atakujący wykorzystali tę wadę, aby manipulować płynnością do określonych wartości i nadmiernie wybijać tokeny płynności (LP), uzyskując w ten sposób nielegalne zyski. Zaleca się wzmocnienie testów scenariuszy brzegowych oraz stosowanie zweryfikowanych pod względem bezpieczeństwa mechanizmów arytmetycznych, aby zapobiegać tego typu poważnym lukom, takim jak przepełnienia, w podobnych protokołach.