Yearn Finance подробно описал атаку на yETH с уязвимостью на 9 миллионов долларов, подтвердил частичное восстановление активов и опубликовал план по устранению проблемы

ChainCatcher сообщает, что, согласно данным The Block, HumidiFiYearn Finance опубликовал подробный постфактум-отчет по поводу уязвимости yETH на прошлой неделе. В отчете указано, что в устаревшем stableswap пуле ликвидности существовала трехэтапная числовая ошибка, которая позволила злоумышленнику "бесконечно чеканить" LP-токены и похитить из этого пула активы примерно на 9 миллионов долларов.

Yearn подтвердил, что при содействии команд Plume и Dinero удалось вернуть 857,49 pxETH, что составляет около четверти украденных активов. Команда планирует пропорционально распределить возвращенные средства между вкладчиками yETH.

Данный децентрализованный финансовый протокол отметил, что атака произошла на блоке 23,914,086 30 ноября 2025 года. Злоумышленник с помощью сложной последовательности операций заставил внутренний парсер пула ликвидности войти в дивергентное состояние и в итоге вызвал арифметическое переполнение. Целью атаки стал кастомный stableswap-пул, агрегирующий различные ликвидные стейкинговые токены (LSTs), а также пул yETH/WETH Curve.

Yearn подчеркнул, что их хранилища v2 и v3, а также другие продукты не пострадали. Для решения этих проблем Yearn опубликовал план исправлений, включающий внедрение явной проверки домена на парсере, замену небезопасной арифметики на проверяемую в ключевых частях кода, а также отключение логики инициализации после запуска пула.