Yearn Finance が 900 万ドルの yETH 悪用事件の詳細を公表、一部回収と修復計画を概説

分散型金融プロトコル Yearn Finance は、先週発生した yETH 加重ステーブルスイーププールでの 900 万ドル規模の悪用事件に関する詳細な事後分析を公開しました。この事件は、算術アンダーフローを引き起こし「無限ミント」経路を誘発した数値バグが原因でした。

攻撃は三段階で実行されました。まず、不均衡な「流動性追加デポジット」によりプールのソルバーを設計外の状態に追い込み、次に過剰に鋳造された LP トークンを使用して流動性を引き出し、最後に「ブートストラップ初期化パス」を悪用して巨大な量の yETH LP トークンを鋳造しました。Yearn は、v2 および v3 ボルトを含む他の製品には影響がなく、影響は yETH とその直接統合に限定されたと強調しています。

Yearn は、これまでに 857.49 pxETH を回収したことを確認しており、これは悪用直前の残高に基づいて yETH 預金者に比例配分されます。プロトコルは、YIP-72 に基づき、Yearn の貢献者および YFI ガバナンスは払い戻しに対して責任を負わないことを再確認しています。修復計画には、ソルバーへの明示的なドメインチェックの適用、安全でない算術演算のチェック済み数学への置き換え、およびより積極的なファジングテストの導入が含まれます。

(出典：The Block)