كشفت Yearn Finance عن خطأ حسابي أدى إلى "تعدين غير محدود" لعملة yETH بقيمة 9 مليون دولار أمريكي

أعلن بروتوكول DeFi Yearn Finance عن تقرير post-mortem حول هجوم yETH الذي حدث الأسبوع الماضي، مشيرًا إلى أن خطأ حسابي في مجمع stableswap القديم سمح للمهاجم بـ"سك عدد شبه غير محدود" من رموز LP وسحب حوالي 9 مليون دولار من الأصول. كما أكدت Yearn أنها استردت جزءًا من الأموال المسروقة.

الحادثة وآلية الهجوم

وفقًا لـ Yearn، تم استغلال مجمع yETH weighted stableswap عند البلوك 23.914.086 في 30/11/2025، بعد سلسلة من العمليات المعقدة التي أدت إلى وقوع محلل المجمع (solver) في حالة غير صحيحة، مما أدى في النهاية إلى خطأ arithmetic underflow.

لم تتأثر خزائن v2 وv3 والمنتجات الأخرى؛ حيث انحصر الضرر في yETH والتكاملات المتعلقة به فقط.

المجمع الذي تم استهدافه هو stableswap مخصص يدمج عدة رموز liquid staking (LST) مثل apxETH، sfrxETH، wstETH، cbETH، rETH، ETHx، mETH، wOETH بالإضافة إلى مجمع yETH/WETH. قبل الحادثة، كانت هذه المجمعات تحتفظ بسلة من LST و298.35 WETH.

ثلاث مراحل للهجوم ومسار “السك اللانهائي”

يقسم تقرير post-mortem الهجوم إلى ثلاث مراحل:

1. إحداث اختلال جسيم في add_liquidity

قام المهاجم بإيداعات سيولة منحرفة للغاية، مما دفع محلل المجمع إلى منطقة تشغيل خارج التصميم، وأدى ذلك إلى انهيار متغير داخلي (Π) إلى 0، مما كسر قاعدة weighted stableswap وسمح بسك كمية كبيرة من رموز LP بشكل زائد. 2. سحب الأصول بالكامل عبر remove_liquidity

باستخدام رموز LP المسكوكة بشكل زائد، واصل المهاجم استدعاء remove_liquidity والدوال ذات الصلة لسحب معظم سيولة LST، محولًا تكلفة السك الخاطئ نحو السيولة التي يمتلكها البروتوكول (POL). أدى هذا إلى انخفاض المخزون الداخلي للمجمع إلى 0 رغم بقاء رصيد ERC-20. 3. إعادة تفعيل مسار “bootstrap” وإنشاء سك لانهائي

عاد المهاجم إلى مسار تهيئة المجمع الذي كان مخصصًا للنشر الأول فقط. من خلال إرسال تكوين “غبار” ينتهك شروط النطاق، قام بتفعيل إجراء unsafe_sub الذي سبب underflow، مما أنتج كمية yETH LP “شبه لانهائية”، استخدمها لاحقًا لسحب كامل مجمع yETH/ETH على Curve.

استرداد الأصول وخطة التعامل

ذكرت Yearn أنها استردت 857.49 pxETH بالتعاون مع Plume وDinero؛ وتمت عملية الاسترداد في 1/12. سيتم توزيع هذه الأموال بنسبة حسب أرصدة مودعي yETH قبل الاختراق.

حوالي 1,000 ETH مسروق تم إيداعه في Tornado Cash في نفس ليلة الحادثة، والباقي تم تحويله إلى Tornado في 5/12. وأشارت The Block سابقًا إلى أن حوالي 3 مليون دولار من ETH تم إرسالها إلى mixer فورًا بعد الهجوم.

شددت Yearn على أن yETH يعمل بآلية إدارة ذاتية وفقًا لـ YIP-72، مع بند “الاستخدام على مسؤوليتك الخاصة”، وأكدت أن فريق Yearn ومجتمع YFI ليسوا مسؤولين عن التعويض. سيتم إعادة أي أموال مستردة إلى المستخدمين المتضررين.

خطة التصحيح

لمنع تكرار الحادثة، اقترحت Yearn الإجراءات التالية:

• إضافة تحقق واضح من شروط النطاق للمحلل؛ واعتبار Π = 0 خطأ جسيم.
• استبدال جميع العمليات الحسابية غير الآمنة بـ checked math في الأجزاء المهمة.
• تعطيل أو تقييد منطق bootstrap بعد بدء تشغيل المجمع.
• فرض حد صارم على كمية LP المصدرة بما يتناسب مع القيمة الفعلية المودعة.
• توسيع نطاق الاختبارات باستخدام fuzzing حسب قاعدة invariant، واختبار الحسابات العكسية، والاختبار بالتدقيق مع نموذج خارجي.

سجلت Yearn دعم ChainSecurity في تحليل السبب الجذري ودعم SEAL 911 في الاستجابة للحادثة واسترداد الأصول. لا تزال التحقيقات ومتابعة تدفق أموال المهاجم جارية.

فونغ تيين