Yearn Finance 詳述 900 萬美元 yETH 漏洞攻擊，確認部分資產恢復並公布修復計劃

Odaily星球日報訊 Yearn Finance 發布了針對上週 yETH 漏洞攻擊的詳細事後報告，指出其遺留的 stableswap 流動性池中存在一個三階段數值錯誤，該錯誤導致攻擊者能夠「無限鑄造」LP 代幣，並從該流動性池中盜取了約 900 萬美元資產。Yearn 確認，已在 Plume 和 Dinero 團隊的協助下，成功追回 857.49 枚 pxETH，約佔被盜資產的四分之一。團隊計畫將追回的資金按比例分配給 yETH 的儲戶。該去中心化金融協議表示，該漏洞攻擊發生在 2025 年 11 月 30 日的區塊 23,914,086，攻擊者通過複雜的操作序列，迫使流動性池的內部解析器進入發散狀態，並最終觸發算術下溢。該攻擊目標是聚合多種流動性質押代幣（LSTs）的自定義 stableswap 池，以及一個 yETH/WETH Curve 池。Yearn 強調，其 v2 和 v3 保險庫及其他產品未受影響。為解決這些問題，Yearn 公布了修復計畫，包括在解析器上實施明確的域檢查、用受檢查的算術代替關鍵部分中的不安全算術、以及在池上線後禁用引導邏輯等。