SlowMist: Ang pangunahing dahilan ng pag-atake sa yearn ay dahil sa hindi ligtas na mathematical operations sa Yearn yETH pool contract

Ayon sa ulat ng Jinse Finance, batay sa pagmamanman ng SlowMist, noong Disyembre 1, ang decentralized finance protocol na yearn ay nakaranas ng pag-atake ng hacker na nagdulot ng tinatayang $9 milyon na pagkalugi. Sinuri ng SlowMist security team ang insidente at kinumpirma ang pangunahing dahilan: Ang kahinaan ay nagmula sa _calc_supply function logic na ginagamit sa Yearn yETH Weighted Stableswap Pool contract para kalkulahin ang supply. Dahil sa hindi ligtas na mathematical operation, pinapayagan ng function na ito ang overflow at rounding error sa proseso ng pagkalkula, na nagdudulot ng malaking pagkakaiba sa resulta ng multiplication ng bagong supply at virtual balance. Sinamantala ng attacker ang kahinaang ito upang manipulahin ang liquidity sa isang partikular na halaga at labis na mag-mint ng liquidity pool (LP) tokens para ilegal na kumita. Inirerekomenda na palakasin ang testing ng mga edge case at gumamit ng mga ligtas na arithmetic operation mechanism upang maiwasan ang mga katulad na high-risk na kahinaan gaya ng overflow sa mga protocol na ito.