Yearn Finance детально описав атаку на yETH з втратою 9 мільйонів доларів, підтвердив часткове відновлення активів та оприлюднив план виправлення ситуації

ChainCatcher повідомляє, що за даними The Block, HumidiFiYearn Finance опублікував детальний постмортем-звіт щодо минулотижневої атаки на вразливість yETH, вказавши, що в його застарілому stableswap пулі ліквідності існувала трьохетапна числова помилка, яка дозволила зловмиснику "безмежно карбувати" LP-токени та викрасти з цього пулу ліквідності активи на суму близько 9 мільйонів доларів.

Yearn підтвердив, що за допомогою команд Plume та Dinero вдалося успішно повернути 857,49 pxETH, що становить приблизно чверть викрадених активів. Команда планує пропорційно розподілити повернуті кошти серед вкладників yETH.

Цей децентралізований фінансовий протокол зазначає, що атака на вразливість відбулася у блоці 23,914,086 30 листопада 2025 року, коли зловмисник за допомогою складної послідовності дій змусив внутрішній парсер пулу ліквідності перейти у дивергентний стан і зрештою спровокував арифметичне переповнення вниз. Метою атаки став кастомний stableswap-пул, який агрегує різні ліквідні стейкінгові токени (LSTs), а також пул yETH/WETH Curve.

Yearn підкреслює, що його v2 та v3 сейфи, а також інші продукти не постраждали. Для вирішення цих проблем Yearn оприлюднив план виправлення, який включає впровадження чіткої перевірки домену на парсері, заміну небезпечної арифметики на перевірену у ключових частинах коду, а також відключення логіки ініціалізації після запуску пулу.