SlowMist : La cause fondamentale de l’attaque contre yearn est que le contrat du pool d’échange de stablecoins pondérés yETH de Yearn comporte des opérations mathématiques non sécurisées.

Selon un rapport de Jinse Finance, et d’après la surveillance de SlowMist, le 1er décembre, le protocole de finance décentralisée Yearn a subi une attaque de hacker, entraînant une perte d’environ 9 millions de dollars. L’équipe de sécurité SlowMist a analysé l’incident et confirmé la cause fondamentale comme suit :
La faille provient de la logique de la fonction calcsupply du contrat du pool d’échange pondéré de stablecoins yETH (Weighted Stableswap Pool) de Yearn utilisée pour calculer l’offre. En raison d’opérations mathématiques non sécurisées, cette fonction permet des débordements et des erreurs d’arrondi lors du calcul, entraînant un écart significatif dans le produit entre la nouvelle offre et le solde virtuel. Les attaquants ont exploité ce défaut pour manipuler la liquidité à une valeur précise et frapper de manière excessive des jetons de pool de liquidité (LP), réalisant ainsi un profit illégal.
Il est recommandé de renforcer les tests sur les scénarios limites et d’adopter des mécanismes d’opérations arithmétiques vérifiés et sécurisés afin de prévenir ce type de vulnérabilités à haut risque, comme les débordements, dans des protocoles similaires.