Yearn Finance dettaglia l'attacco al bug yETH da 9 milioni di dollari, conferma il recupero parziale degli asset e annuncia un piano di riparazione

Secondo ChainCatcher, come riportato da The Block, HumidiFiYearn Finance ha pubblicato un dettagliato rapporto post-mortem sull’attacco al bug di yETH avvenuto la scorsa settimana, indicando che nella sua pool di liquidità stableswap legacy esisteva un errore numerico in tre fasi. Questo errore ha permesso agli attaccanti di “coniare all’infinito” token LP e di sottrarre circa 9 milioni di dollari di asset da questa pool di liquidità.

Yearn ha confermato di aver recuperato con successo 857,49 pxETH, circa un quarto degli asset rubati, grazie all’assistenza dei team di Plume e Dinero. Il team prevede di distribuire i fondi recuperati proporzionalmente ai depositanti di yETH.

Il protocollo di finanza decentralizzata ha dichiarato che l’attacco è avvenuto al blocco 23.914.086 del 30 novembre 2025. L’attaccante, attraverso una sequenza complessa di operazioni, ha forzato il parser interno della pool di liquidità in uno stato divergente, innescando infine un underflow aritmetico. L’attacco ha preso di mira una pool stableswap personalizzata che aggrega diversi liquid staking token (LSTs), oltre a una pool yETH/WETH Curve.

Yearn ha sottolineato che i suoi vault v2 e v3 e gli altri prodotti non sono stati colpiti. Per risolvere questi problemi, Yearn ha annunciato un piano di correzione che include l’implementazione di controlli di dominio espliciti sul parser, la sostituzione dell’aritmetica non sicura con aritmetica controllata nelle parti critiche e la disabilitazione della logica di bootstrap dopo il lancio della pool.