慢雾:yearnが攻撃を受けた根本的な原因は、Yearn yETH加重ステーブルコインスワッププールコントラクトに安全でない数学的演算が存在したことです。

金色财经報道、SlowMistの監視によると、12月1日、分散型金融プロトコルyearnがハッキング攻撃を受け、約900万ドルの損失が発生しました。SlowMistセキュリティチームはこの事件を分析し、根本原因を以下のように確認しました:
脆弱性は、Yearn yETH加重ステーブルコインスワッププール(Weighted Stableswap Pool)コントラクト内で供給量を計算するためのcalcsupply関数ロジックに由来します。不安全な数学演算が存在するため、この関数は計算過程でオーバーフローや丸め誤差を許容し、新しい供給量と仮想残高の積の計算に大きな偏差が生じます。攻撃者はこの欠陥を利用し、流動性を特定の値に操作し、流動性プール(LP)トークンを過剰に鋳造して不正に利益を得ることができます。
同種のプロトコルにおけるこのようなオーバーフロー等の高リスク脆弱性を防ぐため、境界シナリオのテスト強化と、安全性が検証された算術演算メカニズムの採用を推奨します。
免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし