SlowMist: La causa fundamental del ataque a yearn fue la existencia de operaciones matemáticas inseguras en el contrato del pool de intercambio de stablecoins ponderadas Yearn yETH.

Según informa Jinse Finance, y de acuerdo con la monitorización de SlowMist, el 1 de diciembre el protocolo de finanzas descentralizadas Yearn sufrió un ataque de hackers, lo que provocó unas pérdidas de aproximadamente 9 millones de dólares. El equipo de seguridad de SlowMist analizó el incidente y confirmó la causa raíz de la siguiente manera: La vulnerabilidad se originó en la lógica de la función calcsupply utilizada para calcular el suministro en el contrato del pool de intercambio de stablecoins ponderadas (Weighted Stableswap Pool) de Yearn yETH. Debido a operaciones matemáticas inseguras, dicha función permitía desbordamientos y errores de redondeo durante el cálculo, lo que provocaba desviaciones significativas en el producto entre el nuevo suministro y el saldo virtual. Los atacantes aprovecharon este defecto para manipular la liquidez a valores específicos y acuñar en exceso los tokens LP del pool de liquidez, obteniendo así beneficios ilícitos. Se recomienda reforzar las pruebas de escenarios límite y emplear mecanismos de operaciones aritméticas validados en materia de seguridad, a fin de prevenir vulnerabilidades de alto riesgo como desbordamientos en protocolos similares.