SlowMist: Der Hauptgrund für den Angriff auf yearn war, dass der Yearn yETH Weighted Stablecoin Swap Pool Contract unsichere mathematische Operationen enthielt.

Laut einem Bericht von Jinse Finance, der sich auf Überwachungen von SlowMist stützt, wurde das dezentrale Finanzprotokoll Yearn am 1. Dezember Opfer eines Hackerangriffs, bei dem ein Schaden von etwa 9 Millionen US-Dollar entstand. Das Sicherheitsteam von SlowMist hat den Vorfall analysiert und bestätigt die folgende Hauptursache: Die Schwachstelle liegt in der Logik der Funktion calcsupply des Yearn yETH Weighted Stableswap Pool Vertrags, die zur Berechnung des Angebots dient. Aufgrund unsicherer mathematischer Operationen ermöglicht diese Funktion während der Berechnung Überläufe und Rundungsfehler, was zu erheblichen Abweichungen beim Produkt aus neuem Angebot und virtuellem Saldo führt. Angreifer konnten diesen Fehler ausnutzen, um die Liquidität auf einen bestimmten Wert zu manipulieren und übermäßig viele Liquiditätspool-(LP)-Token zu prägen, um so illegal zu profitieren. Es wird empfohlen, Tests für Grenzfälle zu verstärken und geprüfte, sichere arithmetische Mechanismen zu verwenden, um ähnliche kritische Schwachstellen wie Überläufe in vergleichbaren Protokollen zu vermeiden.