Yearn Finance erläutert den 9 Millionen US-Dollar yETH-Exploit, bestätigt teilweise Wiederherstellung der Vermögenswerte und veröffentlicht einen Wiederherstellungsplan

Odaily Planet Daily berichtet, dass Yearn Finance einen detaillierten Nachbericht zum yETH-Exploit der vergangenen Woche veröffentlicht hat. Dabei wurde festgestellt, dass in einem veralteten Stableswap-Liquiditätspool ein dreistufiger Zahlenfehler bestand, der es Angreifern ermöglichte, „unbegrenzt“ LP-Token zu prägen und so Vermögenswerte im Wert von etwa 9 Millionen US-Dollar aus dem Pool zu stehlen. Yearn bestätigte, dass mit Unterstützung der Teams von Plume und Dinero erfolgreich 857,49 pxETH – etwa ein Viertel der gestohlenen Vermögenswerte – zurückgeholt werden konnten. Das Team plant, die wiedererlangten Mittel anteilig an die yETH-Einleger zu verteilen. Das DeFi-Protokoll erklärte, dass der Angriff am 30. November 2025 im Block 23.914.086 stattfand. Der Angreifer brachte durch eine komplexe Operationsfolge den internen Parser des Liquiditätspools in einen divergenten Zustand und löste schließlich einen arithmetischen Unterlauf aus. Ziel des Angriffs waren ein benutzerdefinierter Stableswap-Pool, der verschiedene Liquid Staking Token (LSTs) aggregiert, sowie ein yETH/WETH Curve-Pool. Yearn betonte, dass die v2- und v3-Vaults sowie andere Produkte nicht betroffen sind. Um diese Probleme zu beheben, veröffentlichte Yearn einen Maßnahmenplan, der unter anderem die Implementierung expliziter Bereichsprüfungen im Parser, den Ersatz unsicherer Arithmetik durch geprüfte Arithmetik in kritischen Teilen und die Deaktivierung der Bootstrapping-Logik nach dem Start des Pools vorsieht.