SlowMist: Nguyên nhân gốc rễ khiến Yearn bị tấn công là do hợp đồng bể hoán đổi stablecoin có trọng số yETH của Yearn tồn tại phép toán học không an toàn.

GateNews

2025-12-05 02:53:10

Theo báo cáo từ Jinse Finance, theo dõi bởi SlowMist, vào ngày 1 tháng 12, giao thức tài chính phi tập trung yearn đã bị tấn công bởi hacker, gây thiệt hại khoảng 9 triệu đô la Mỹ. Đội ngũ an ninh của SlowMist đã phân tích sự kiện này và xác nhận nguyên nhân gốc rễ như sau:

Lỗ hổng xuất phát từ logic của hàm calcsupply dùng để tính toán nguồn cung trong hợp đồng bể trao đổi stablecoin có trọng số (Weighted Stableswap Pool) của Yearn yETH. Do các phép toán không an toàn, hàm này trong quá trình tính toán cho phép xảy ra hiện tượng tràn số và sai số làm tròn, dẫn tới sự sai lệch đáng kể trong phép nhân giữa nguồn cung mới và số dư ảo. Kẻ tấn công đã lợi dụng lỗ hổng này để thao túng thanh khoản về một giá trị nhất định và đúc vượt mức token thanh khoản (LP) của bể, qua đó thu lợi bất hợp pháp.

Khuyến nghị tăng cường kiểm thử các trường hợp biên, đồng thời áp dụng cơ chế toán học đã được kiểm tra an toàn để phòng tránh các lỗ hổng nghiêm trọng như tràn số trong các giao thức tương tự.

Xem bản gốc

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bình luận

0/400

Không có bình luận