慢雾：yearn遭遇攻击的根本缘由是Yearn y以太币池合约存在不安全的数学运算

币界网消息，据 SlowMist 监测，12 月 1 日，去中心化金融协议 yearn 遭遇黑客攻击，导致约 900 万USD损失。慢雾安全团队对该事件进行了剖析，确认根本缘由如下：漏洞来自于 Yearn y以太币 加权稳定币交换池合约中用于计算提供量的|calc|supply 函数逻辑。因为存在不安全的数学运算，该函数在计算过程中允许溢出和舍入误差，致使新提供量与虚拟余额的乘积计算出现显著偏差。攻击者借助此缺点可将流动性操控至特定数值，并超额铸造流动性池代币，从而非法获利。建议加大边界场景测试，并使用经过安全验证的算术运算机制，以防范相同种类协议中此类溢出等高危漏洞。此前消息，Yearn 发布声明称，其 y以太币 稳定池于 11 月 30 日 21:11 UTC 遭遇攻击，攻击者通过自概念合约很多铸造 y以太币，致使池内约 800 万USD资产受损，另有约 90 万USD损失来自 CRV 上的 y以太币|W以太币 池。