SlowMist: la causa principale dell’attacco a yearn è stata la presenza di operazioni matematiche non sicure nel contratto del pool Yearn yETH

Secondo quanto riportato da Jinse Finance, e monitorato da SlowMist, il 1° dicembre il protocollo di finanza decentralizzata yearn è stato vittima di un attacco hacker che ha causato una perdita di circa 9 milioni di dollari. Il team di sicurezza di SlowMist ha analizzato l'incidente e confermato la causa principale come segue: la vulnerabilità deriva dalla logica della funzione _calc_supply utilizzata per calcolare la fornitura nel contratto del Weighted Stableswap Pool di Yearn yETH. A causa di operazioni matematiche non sicure, questa funzione consente overflow ed errori di arrotondamento durante il calcolo, portando a una significativa discrepanza nel prodotto tra la nuova fornitura e il saldo virtuale. Gli attaccanti hanno sfruttato questa falla per manipolare la liquidità a valori specifici e coniare in eccesso i token di liquidità del pool (LP), ottenendo così profitti illeciti. Si raccomanda di rafforzare i test sugli scenari limite e di adottare meccanismi aritmetici verificati per la sicurezza, al fine di prevenire vulnerabilità ad alto rischio come l'overflow in protocolli simili.