SlowMist: Penyebab utama terjadinya serangan terhadap yearn adalah karena kontrak pool pertukaran stablecoin berbobot yETH dari Yearn memiliki operasi matematika yang tidak aman.

Dilaporkan oleh Jinse Finance, menurut pemantauan SlowMist, pada 1 Desember, protokol keuangan terdesentralisasi yearn mengalami serangan peretas yang menyebabkan kerugian sekitar 9 juta dolar AS. Tim keamanan SlowMist telah menganalisis insiden ini dan mengonfirmasi penyebab utamanya sebagai berikut: Celah tersebut berasal dari logika fungsi calcsupply yang digunakan untuk menghitung pasokan pada kontrak Yearn yETH Weighted Stableswap Pool. Karena terdapat operasi matematika yang tidak aman, fungsi ini memungkinkan terjadinya overflow dan kesalahan pembulatan selama proses perhitungan, sehingga menyebabkan deviasi yang signifikan dalam hasil perkalian pasokan baru dengan saldo virtual. Penyerang memanfaatkan kelemahan ini untuk memanipulasi likuiditas ke nilai tertentu dan mencetak token pool likuiditas (LP) secara berlebihan, sehingga memperoleh keuntungan secara ilegal. Disarankan untuk memperkuat pengujian skenario batas dan menggunakan mekanisme operasi aritmatika yang telah diverifikasi keamanannya, guna mencegah celah berisiko tinggi seperti overflow pada protokol sejenis.