SlowMist: Penyebab utama Yearn mengalami serangan adalah karena kontrak pool Yearn YETH memiliki operasi matematika yang tidak aman.

Berita dari Mars Finance, menurut pemantauan SlowMist, protokol keuangan terdesentralisasi yearn mengalami serangan peretas yang menyebabkan kerugian sekitar 9 juta dolar AS. Tim keamanan SlowMist telah menganalisis insiden ini dan mengonfirmasi penyebab utamanya sebagai berikut: celah berasal dari logika fungsi _calc_supply yang digunakan untuk menghitung pasokan dalam kontrak Yearn yETH Weighted Stableswap Pool. Karena adanya operasi matematika yang tidak aman, fungsi ini memungkinkan terjadinya overflow dan kesalahan pembulatan selama proses perhitungan, sehingga menyebabkan penyimpangan signifikan pada hasil perkalian antara pasokan baru dan saldo virtual. Penyerang memanfaatkan celah ini untuk memanipulasi likuiditas ke nilai tertentu dan mencetak token likuiditas (LP) secara berlebihan, sehingga memperoleh keuntungan secara ilegal. Disarankan untuk memperkuat pengujian skenario batas dan menggunakan mekanisme aritmetika yang telah terverifikasi keamanannya guna mencegah kerentanan berisiko tinggi seperti overflow pada protokol sejenis. Sebelumnya, Yearn telah merilis pernyataan bahwa pool stabil yETH mereka mengalami serangan pada 30 November pukul 21:11 UTC, di mana penyerang menggunakan kontrak khusus untuk mencetak yETH dalam jumlah besar, mengakibatkan kerugian sekitar 8 juta dolar AS pada aset di dalam pool, serta sekitar 900 ribu dolar AS kerugian tambahan berasal dari pool yETH-WETH di Curve.