Yearn Finance ให้รายละเอียดเกี่ยวกับการโจมตีช่องโหว่ yETH มูลค่า 9 ล้านดอลลาร์ ยืนยันการกู้คืนสินทรัพย์บางส่วนและประกาศแผนการแก้ไข

Odaily 星球日报รายงานว่า Yearn Finance ได้เผยแพร่รายงานสรุปอย่างละเอียดเกี่ยวกับเหตุการณ์โจมตีช่องโหว่ yETH เมื่อสัปดาห์ที่ผ่านมา โดยระบุว่ามีข้อผิดพลาดเชิงตัวเลขสามขั้นตอนในพูลสภาพคล่อง stableswap ที่ตกค้างอยู่ ซึ่งข้อผิดพลาดนี้ทำให้ผู้โจมตีสามารถ “มินต์” โทเคน LP ได้ไม่จำกัด และขโมยสินทรัพย์จากพูลสภาพคล่องดังกล่าวไปประมาณ 9 ล้านดอลลาร์สหรัฐ

Yearn ยืนยันว่าได้รับความช่วยเหลือจากทีม Plume และ Dinero ในการกู้คืน pxETH จำนวน 857.49 เหรียญ คิดเป็นประมาณหนึ่งในสี่ของสินทรัพย์ที่ถูกขโมยไป ทีมงานวางแผนจะแจกจ่ายเงินที่กู้คืนมาได้ให้กับผู้ฝาก yETH ตามสัดส่วน

โปรโตคอล DeFi นี้ระบุว่า การโจมตีเกิดขึ้นในบล็อก 23,914,086 เมื่อวันที่ 30 พฤศจิกายน 2025 โดยผู้โจมตีใช้ลำดับปฏิบัติการที่ซับซ้อน เพื่อบังคับให้ parser ภายในพูลสภาพคล่องเข้าสู่สถานะผิดปกติ และจุดชนวนให้เกิด arithmetic underflow ในที่สุด เป้าหมายของการโจมตีคือพูล stableswap แบบกำหนดเองที่รวม LSTs หลายชนิด และพูล yETH/WETH Curve

Yearn เน้นย้ำว่า vault v2, v3 และผลิตภัณฑ์อื่น ๆ ไม่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ เพื่อแก้ไขปัญหาเหล่านี้ Yearn ได้ประกาศแผนการแก้ไข เช่น การเพิ่ม domain check ที่ชัดเจนบน parser, ใช้ arithmetic ที่มีการตรวจสอบในส่วนสำคัญแทน arithmetic ที่ไม่ปลอดภัย และปิดการใช้งาน bootstrap logic หลังจากที่พูลออนไลน์แล้ว