DeFi协议Yearn曝出漏洞，损失约900万美元

Yearn协议遭黑客攻击，损失约900万美元

据安全机构SlowMist分析，12月1日去中心化金融协议Yearn遭遇黑客攻击，造成约900万美元损失。调查发现，攻击者利用了Yearn的yETH加权稳定币兑换池中供应量计算函数存在的数学漏洞。

SlowMist指出，该函数在计算过程中允许溢出误差和舍入偏差，导致实际供应量与虚拟余额之间产生显著差异。攻击者通过操纵流动性并超额发行流动性提供者代币，从中获取不正当收益。

Yearn官方声明证实，yETH池于UTC时间11月30日21时11分遭受攻击，造成约800万美元直接损失，并在yETH-WETH Curve池中引发约90万美元的连带损失。

安全建议

为防范类似事件，SlowMist建议强化边界场景测试，并采用经过安全验证的算术运算方法。