SlowMist : La cause fondamentale de l'attaque contre yearn est que le contrat du pool Yearn YETH comporte des opérations mathématiques non sécurisées.

Selon Mars Finance, d’après la surveillance de SlowMist, le protocole de finance décentralisée yearn a été victime d’une attaque de hacker, entraînant une perte d’environ 9 millions de dollars. L’équipe de sécurité SlowMist a analysé cet incident et a confirmé la cause fondamentale comme suit : la vulnérabilité provient de la logique de la fonction _calc_supply utilisée pour calculer l’offre dans le contrat du pool d’échange de stablecoins pondéré Yearn yETH (Weighted Stableswap Pool). En raison d’opérations mathématiques non sécurisées, cette fonction permet des dépassements de capacité (overflow) et des erreurs d’arrondi lors du calcul, entraînant un écart significatif dans le produit entre la nouvelle offre et le solde virtuel. Les attaquants ont exploité cette faille pour manipuler la liquidité à une valeur spécifique et frapper de manière excessive des tokens de pool de liquidité (LP), en tirant ainsi un profit illégal. Il est recommandé de renforcer les tests de scénarios limites et d’adopter des mécanismes d’opérations arithmétiques vérifiés pour la sécurité, afin de prévenir ce type de vulnérabilités critiques par dépassement de capacité dans des protocoles similaires. Selon des informations précédentes, Yearn a publié une déclaration indiquant que son pool stable yETH a été attaqué le 30 novembre à 21h11 UTC ; l’attaquant a massivement frappé du yETH via un contrat personnalisé, entraînant une perte d’environ 8 millions de dollars dans le pool, et une perte supplémentaire d’environ 900 000 dollars provenant du pool yETH-WETH sur Curve.