# Yearn 协议遭黑客攻击,损失约 900 万美元,慢雾发布深度分析
**慢雾安全团队披露,根本原因在于 yETH 加权稳定币交换池存在数学运算漏洞,攻击者利用精准操控获取超额利润。**
—
### 事件回顾
据 SlowMist 监测,知名 DeFi 协议 Yearn 于 12 月 1 日遭受黑客攻击,造成约 **900 万美元** 的经济损失。慢雾安全团队迅速介入,完成对本次事件的全面分析。
—
### 漏洞核心原因
此次攻击的根本原因是 **Yearn yETH 加权稳定币交换池**(Weighted Stableswap Pool)合约中存在计算逻辑缺陷:
-full该合约中用于计算供应量的 `_calc_supply` 函数,在执行过程中出现**不安全的数学运算**,导致溢出和舍入误差未能被正确处理。
具体而言,由于计算新供应量与虚拟余额乘积时出现显著偏差,攻击者可**精准操控流动性数值**,并在此基础上**超额铸造流动性池(LP)代币**,最终非法获利。
—
### 安全建议
为防止同类协议中再次发生类似高危漏洞,慢雾团队提出以下关键安全建议:
– **加强边界场景测试**:全面覆盖极端参数与异常操作流程。
– **采用已验证的算术运算机制**:优先使用经过安全审计的数学库或标准化计算逻辑。
– **持续审计与监控**:对关键资金交互模块实施常态化安全审计和实时风控监测。
—
**安全无小事,代码即信任。** 建议 DeFi 项目方持续关注底层逻辑安全性,严防数学层面的隐蔽漏洞。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/120526/
