Yearn Finance detalla el exploit de yETH de $9 millones, confirma recuperación parcial y describe el plan de remediación
Yearn Finance detalló un exploit de yETH por $9 millones causado por un error numérico, confirmó la recuperación parcial de fondos y delineó un plan de remediación.Resumen
El protocolo de finanzas descentralizadas Yearn Finance publicó un análisis detallado sobre el exploit de yETH por aproximadamente $9 millones ocurrido en su pool de swaps estables ponderado, causado por un error numérico que llevó a un desbordamiento aritmético y una ruta de acuñación infinita.
El ataque se desarrolló en tres fases: forzar el solucionador del pool a un estado divergente mediante depósitos desequilibrados, acuñar excesivamente tokens LP de yETH, y finalmente, activar una operación de resta insegura que resultó en la acuñación masiva de tokens LP utilizados para drenar el pool yETH/WETH de Curve. Yearn enfatizó que el impacto se aisló a yETH y sus integraciones directas, sin afectar las bóvedas v2 y v3.
La divulgación confirma que se han recuperado 857.49 pxETH hasta el momento, los cuales se distribuirán proporcionalmente a los depositantes de yETH. Sin embargo, Yearn reitera que, bajo YIP-72, los contribuyentes de Yearn y la gobernanza YFI no son responsables del reembolso. El plan de remediación incluye imponer verificaciones de dominio explícitas en el solucionador, reemplazar la aritmética insegura con matemáticas verificadas e introducir límites estrictos para la emisión de LP vinculados al valor de los depósitos de los usuarios.
(Fuente:The Block)