SlowMist: yearn hujumga uchrashining asosiy sababi Yearn yETH pool kontraktida xavfsiz bo‘lmagan matematik amallar mavjudligidir

Jinse Finance xabariga ko‘ra, SlowMist monitoringiga asosan, 1-dekabr kuni markazlashmagan moliya protokoli yearn xakerlik hujumiga uchradi va taxminan 9 million AQSh dollari miqdorida zarar ko‘rildi. SlowMist xavfsizlik jamoasi ushbu hodisani tahlil qilib, asosiy sabablarni quyidagicha aniqladi: Muammo Yearn yETH Weighted Stableswap Pool kontraktidagi ta’minot miqdorini hisoblash uchun ishlatiladigan _calc_supply funksiyasi mantiqidan kelib chiqqan. Xavfsiz bo‘lmagan matematik amallar tufayli, ushbu funksiya hisoblash jarayonida to‘lib ketish (overflow) va yaxlitlash xatolariga yo‘l qo‘yadi, natijada yangi ta’minot miqdori va virtual balans ko‘paytmasi hisobida sezilarli farqlar yuzaga keladi. Hujumchi ushbu nuqsondan foydalanib, likvidlikni ma’lum qiymatga boshqarishi va likvidlik pooli (LP) tokenlarini ortiqcha chiqarib, noqonuniy daromad olishi mumkin. Shunga ko‘ra, chekka holatlarni sinovdan o‘tkazishni kuchaytirish va xavfsizligi tekshirilgan arifmetik amallar mexanizmini qo‘llash tavsiya etiladi, bu kabi protokollarda shunga o‘xshash xavfli xatoliklarning oldini olish uchun.