SlowMist: Nguyên nhân gốc rễ khiến Yearn bị tấn công là do hợp đồng bể hoán đổi stablecoin có trọng số yETH của Yearn tồn tại phép toán học không an toàn.

Theo báo cáo từ Jinse Finance, theo dõi bởi SlowMist, vào ngày 1 tháng 12, giao thức tài chính phi tập trung yearn đã bị tấn công bởi hacker, gây thiệt hại khoảng 9 triệu đô la Mỹ. Đội ngũ an ninh của SlowMist đã phân tích sự kiện này và xác nhận nguyên nhân gốc rễ như sau:

Lỗ hổng xuất phát từ logic của hàm calcsupply dùng để tính toán nguồn cung trong hợp đồng bể trao đổi stablecoin có trọng số (Weighted Stableswap Pool) của Yearn yETH. Do các phép toán không an toàn, hàm này trong quá trình tính toán cho phép xảy ra hiện tượng tràn số và sai số làm tròn, dẫn tới sự sai lệch đáng kể trong phép nhân giữa nguồn cung mới và số dư ảo. Kẻ tấn công đã lợi dụng lỗ hổng này để thao túng thanh khoản về một giá trị nhất định và đúc vượt mức token thanh khoản (LP) của bể, qua đó thu lợi bất hợp pháp.

Khuyến nghị tăng cường kiểm thử các trường hợp biên, đồng thời áp dụng cơ chế toán học đã được kiểm tra an toàn để phòng tránh các lỗ hổng nghiêm trọng như tràn số trong các giao thức tương tự.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận