Yearn Finance merinci serangan celah yETH senilai 9 juta dolar AS, mengonfirmasi sebagian aset telah dipulihkan dan mengumumkan rencana perbaikan

Odaily星球日报讯 Yearn Finance telah merilis laporan pasca kejadian secara rinci terkait serangan celah yETH minggu lalu, yang mengungkapkan adanya kesalahan numerik tiga tahap pada pool likuiditas stableswap yang diwariskan, sehingga memungkinkan penyerang untuk “mencetak tanpa batas” token LP dan mencuri aset senilai sekitar 9 juta dolar AS dari pool tersebut. Yearn mengkonfirmasi bahwa, dengan bantuan tim Plume dan Dinero, mereka berhasil memulihkan 857,49 pxETH, sekitar seperempat dari aset yang dicuri. Tim berencana untuk mendistribusikan dana yang dipulihkan secara proporsional kepada deposan yETH. Protokol keuangan terdesentralisasi ini menyatakan serangan celah tersebut terjadi pada blok 23.914.086 pada 30 November 2025, di mana penyerang melalui serangkaian operasi kompleks memaksa internal parser pool likuiditas masuk ke kondisi divergen dan akhirnya memicu underflow aritmatika. Target serangan adalah pool stableswap kustom yang mengagregasi berbagai token staking likuiditas (LST) dan satu pool yETH/WETH Curve. Yearn menekankan bahwa vault v2 dan v3 serta produk lainnya tidak terdampak. Untuk mengatasi masalah ini, Yearn mengumumkan rencana perbaikan, termasuk menerapkan pemeriksaan domain eksplisit pada parser, mengganti aritmatika tidak aman pada bagian penting dengan aritmatika yang telah diperiksa, serta menonaktifkan logika bootstrap setelah pool diluncurkan.