Повний розбір крадіжки $9 мільйонів у Yearn: як баг у три етапи призвів до «нескінченного карбування»

【БіТуй】Yearn Finance нарешті опублікували повний звіт про атаку на yETH, яка сталася минулого тижня.

Якщо коротко, то у них в старому stableswap-пулі був трирівневий числовий баг — зловмисник скористався цим і провернув операцію з «безкінечним карбуванням LP-токенів», в результаті чого вивів із пулу майже 9 мільйонів доларів. Інцидент стався 30 листопада, точніше на блоці 23914086.

Але є й хороші новини. Yearn разом з командами Plume та Dinero змогли повернути 857,49 pxETH, тобто приблизно чверть викрадених активів. Ці кошти пропорційно повернуть користувачам, що депонували yETH.

З технічного боку, метод зловмисника був досить витонченим — через низку складних операцій він довів внутрішній парсер пулу до дивергентного стану, що зрештою спровокувало арифметичне переповнення вниз. Мішенню атаки був кастомний stableswap-пул, який агрегував декілька LST, а також Curve-пул yETH/WETH. Команда окремо наголосила: v2 та v3 сейфи й інші продукти не постраждали.

Вже готується рішення: додадуть чітку перевірку домену для парсера, всі критичні ділянки коду замінять на безпечну арифметику з перевіркою, а ще — одразу після запуску пулу відключатимуть логіку ініціалізації. Цього разу урок вийшов дорогим, але дуже показовим.