SlowMist: A causa raiz do ataque ao yearn foi a existência de operações matemáticas inseguras no contrato do pool Yearn yETH.

De acordo com reportagem da Jinse Finance, monitoramento da SlowMist revelou que, em 1º de dezembro, o protocolo de finanças descentralizadas yearn sofreu um ataque hacker, resultando em uma perda de aproximadamente 9 milhões de dólares. A equipe de segurança da SlowMist analisou o incidente e confirmou a causa raiz: a vulnerabilidade originou-se na lógica da função _calc_supply, responsável pelo cálculo do fornecimento no contrato do Weighted Stableswap Pool do Yearn yETH. Devido a operações matemáticas inseguras, essa função permitia estouro e erros de arredondamento durante o cálculo, levando a desvios significativos no produto entre o novo fornecimento e o saldo virtual. O invasor explorou essa falha para manipular a liquidez para valores específicos e cunhar em excesso tokens de liquidez do pool (LP), obtendo lucro ilegalmente. Recomenda-se reforçar os testes de cenários de borda e adotar mecanismos aritméticos validados em segurança para prevenir vulnerabilidades críticas como estouro em protocolos similares.