Yearn Finance는 900만 달러 규모의 yETH 취약점 공격에 대한 세부 정보를 공개하고, 자산을 일부 회복했음을 확인했으며, 복구 계획을 발표했습니다.

Mars Finance는 Yearn Finance가 지난주 발생한 yETH 취약점 공격에 대한 상세한 사후 보고서를 발표했다고 보도했습니다. 이 보고서에 따르면 Yearn Finance의 기존 스테이블 스왑 유동성 풀에서 3단계 수치 오류가 발견되었습니다. 이 오류로 인해 공격자들은 LP 토큰을 무기한으로 민트 하여 유동성 풀에서 약 900만 달러 상당의 자산을 탈취했습니다. Yearn은 Plume 및 Dinero 팀의 지원을 받아 탈취된 자산의 약 4분의 1에 해당하는 857.49 pxETH를 성공적으로 복구했다고 밝혔습니다. Yearn 팀은 복구된 자금을 yETH 예치자들에게 비례 배분할 계획입니다. 탈중앙화 금융 프로토콜은 이 취약점이 2025년 11월 30일 블록 23,914,086에서 발생했다고 밝혔습니다. 공격자들은 복잡한 일련의 연산을 통해 유동성 풀의 내부 리졸버를 분기 상태로 만들어 궁극적으로 산술 언더플로우를 유발했습니다. 이번 공격은 여러 유동성 스테이킹 토큰(LST)을 통합하는 맞춤형 스테이블 스왑 풀과 yETH/WETH Curve 풀을 대상으로 했습니다. Yearn은 자사의 v2 및 v3 볼트와 기타 제품은 이번 공격의 영향을 받지 않았다고 강조했습니다. 이러한 문제를 해결하기 위해 Yearn은 리졸버에 대한 명시적인 도메인 검사 구현, 중요 영역의 안전하지 않은 연산을 검사된 연산으로 대체, 풀이 온라인 상태가 된 후 부트스트래핑 로직 비활성화 등을 포함하는 복구 계획을 발표했습니다.