Odaily星球日報訊 Yearn Finance 發布了針對上週 yETH 漏洞攻擊的詳細事後報告,指出其遺留的 stableswap 流動性池中存在一個三階段數值錯誤,該錯誤導致攻擊者能夠「無限鑄造」LP 代幣,並從該流動性池中盜取了約 900 萬美元資產。Yearn 確認,已在 Plume 和 Dinero 團隊的協助下,成功追回 857.49 枚 pxETH,約佔被盜資產的四分之一。團隊計畫將追回的資金按比例分配給 yETH 的儲戶。該去中心化金融協議表示,該漏洞攻擊發生在 2025 年 11 月 30 日的區塊 23,914,086,攻擊者通過複雜的操作序列,迫使流動性池的內部解析器進入發散狀態,並最終觸發算術下溢。該攻擊目標是聚合多種流動性質押代幣(LSTs)的自定義 stableswap 池,以及一個 yETH/WETH Curve 池。Yearn 強調,其 v2 和 v3 保險庫及其他產品未受影響。為解決這些問題,Yearn 公布了修復計畫,包括在解析器上實施明確的域檢查、用受檢查的算術代替關鍵部分中的不安全算術、以及在池上線後禁用引導邏輯等。
