Yearn 从“未经验证的算术”错误中追回 240 万美元被盗资产
内容摘要
Yearn Finance 团队已追回约 240 万美元,这些资产来自最近对遗留 DeFi 协议的攻击,总损失估计接近 900 万美元。这次周日的攻击利用了 Yearn Ether (yETH) 在 Curve 上的稳定币兑换池中的漏洞,其复杂性与最近的 Balancer 黑客事件相似。事后分析报告指出,根本原因是一个“未经验证的算术”错误以及其他设计问题,这使得攻击者能够铸造近乎无限量的 yETH 代币来耗尽协议流动性。Yearn 强调此次攻击是定向的,不影响其 V2 或 V3 库,并且所有成功追回的资产将退还给受影响的存款人。攻击者将至少 1,000 ETH 和一些流动性质押代币转移到了 Tornado Cash,但 Yearn 联合安全公司已成功追回了 857.49 pxETH。攻击者利用了自毁的“辅助合约”来执行复杂的攻击步骤。
(来源:The Block)