Yearn Finance nêu chi tiết về cuộc tấn công lỗ hổng yETH trị giá 9 triệu đô la, xác nhận khôi phục một phần tài sản và công bố kế hoạch khắc phục.

Mars Finance đưa tin Yearn Finance đã công bố một báo cáo chi tiết sau sự cố liên quan đến cuộc tấn công lỗ hổng yETH tuần trước, tiết lộ một lỗi số ba giai đoạn trong nhóm thanh khoản stableswap cũ của họ. Lỗi này cho phép kẻ tấn công "đúc " token NHÀ CUNG CẤP THANH KHOẢN vô thời hạn, tài sản khoảng 9 triệu đô la từ nhóm thanh khoản . Yearn xác nhận rằng, với sự hỗ trợ của đội ngũ Plume và Dinero, họ đã thu hồi thành công 857,49 pxETH, tương đương khoảng một phần tư số tài sản bị đánh cắp. Đội ngũ dự định phân phối số tiền thu hồi được theo tỷ lệ cho những người gửi tiền yETH. Giao thức tài chính phi tập trung cho biết lỗ hổng xảy ra tại khối 23.914.086 vào ngày 30 tháng 11 năm 2025. Kẻ tấn công đã sử dụng một chuỗi hoạt động phức tạp để buộc trình phân tích thanh khoản nội bộ của nhóm thanh khoản chuyển sang trạng thái phân kỳ, cuối cùng gây ra hiện tượng tràn số học. Cuộc tấn công nhắm vào một nhóm stableswap tùy chỉnh, tập hợp nhiều token đặt cược thanh khoản (LST) và một nhóm Đường cong yETH/WETH. Yearn khẳng định rằng các kho lưu trữ v2 và v3 cũng như các sản phẩm khác của họ không bị ảnh hưởng. Để giải quyết những vấn đề này, Yearn đã phát hành một kế hoạch khắc phục bao gồm việc triển khai kiểm tra tên miền rõ ràng trên trình phân giải, thay thế các phép toán không an toàn trong các phần quan trọng bằng các phép toán được kiểm tra và vô hiệu hóa logic khởi động sau khi ra mắt.