SlowMist: Основна причина атаки на yearn полягає в тому, що в контракті пулу зваженого обміну стейблкоїнів Yearn yETH існували небезпечні математичні операції.

За повідомленням Jinse Finance, згідно з моніторингом SlowMist, 1 грудня децентралізований фінансовий протокол yearn зазнав хакерської атаки, що призвела до втрати близько 9 мільйонів доларів США. Команда безпеки SlowMist провела аналіз цієї події та підтвердила основну причину наступним чином:
Вразливість виникла в логіці функції calcsupply, що використовується для обчислення пропозиції у контракті Yearn yETH Weighted Stableswap Pool. Через небезпечні математичні операції, ця функція під час розрахунків дозволяла переповнення й помилки округлення, що призводило до суттєвого відхилення у добутку нової пропозиції та віртуального балансу. Зловмисник скористався цим недоліком, щоб маніпулювати ліквідністю до певного значення й надмірно випустити токени пулу ліквідності (LP), отримавши незаконний прибуток.
Рекомендується посилити тестування крайових сценаріїв і впроваджувати математичні механізми, що пройшли безпекову перевірку, з метою запобігання подібним високоризиковим вразливостям, таким як переповнення, у протоколах цього типу.
Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів