慢雾:yearn遭遇攻击的根本原因是Yearn yETH池合约存在不安全的数学运算
来源 金色财经
金色财经报道,据SlowMist监测,12 月 1 日,去中心化金融协议yearn遭遇黑客攻击,造成约900万美元损失。慢雾安全团队对该事件进行了分析,确认根本原因如下:
漏洞源于Yearn yETH加权稳定币交换池(Weighted Stableswap Pool)合约中用于计算供应量的_calc_supply函数逻辑。由于存在不安全的数学运算,该函数在计算过程中允许溢出和舍入误差,导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值,并超额铸造流动性池(LP)代币,从而非法获利。
建议加强边界场景测试,并采用经过安全验证的算术运算机制,以防范同类协议中此类溢出等高危漏洞。
免责声明:仅供参考。 过去的表现并不预示未来的结果。
推荐文章
美元兑在岸人民币(USD/CNY)跌至7.0824,美元兑离岸人民币(USD/CNH)跌至7.0779,双双创一年多新低。
政府干预+加息预期下,日元贬值趋势暂停。市场处在观望之中。
美元/日元(USD/JPY)跌至154.66,创两个星期低点。
随着套息交易平仓,美元/日元或跌向150。
历史数据显示,美股和欧股在12月往往上涨。若走势强劲,基金经理或抢购式入场。
周三(12月3日),现货黄金价格收盘基本持平,金价在纽约时段再度出现剧烈波动,受远逊于预期的美国ADP数据影响,金价一度飙升,但归因于投资者获利了结和白银走势反转等因素,金价自高位大幅回落,不过仍然收于4200美元/盎司上方。
