Odaily星球日报讯 Yearn Finance 发布了针对上周 yETH 漏洞攻击的详细事后报告，指出其遗留的 stableswap 流动性池中存在一个三阶段数值错误，该错误导致攻击者能够“无限铸造”LP 代币，并从该流动性池中盗取了约 900 万美元资产。Yearn 确认，已在 Plume 和 Dinero 团队的协助下，成功追回 857.49 枚 pxETH，约占被盗资产的四分之一。团队计划将追回的资金按比例分配给 yETH 的储户。该去中心化金融协议表示，该漏洞攻击发生在 2025 年 11 月 30 日的区块 23,914,086，攻击者通过复杂的操作序列，迫使流动性池的内部解析器

PANews 12月8日消息，据X平台讨论，多个开发者认为yETH攻击虽被归因于模糊测试（fuzzing）发现，但实际攻击路径复杂，可能是在发现可利用原始漏洞后逐步放大危害。Curve创始人Michael

金色财经报道，据SlowMist监测，12 月 1 日，去中心化金融协议yearn遭遇黑客攻击，造成约 900 万美元损失。慢雾安全团队对该事件进行了分析，确认根本原因如下： 漏洞源于Yearn yETH加权稳定币交换池（Weighted Stableswap Pool）合约中用于计算供应量的 calcsupply 函数逻辑。由于存在不安全的数学运算，该函数在计算过程中允许溢出和舍入误差，导致新供应量与虚拟余额的乘积计算出现显著偏差。攻击者利用此缺陷可将流动性操控至特定数值，并超额铸造流动性池（LP）代币，从而非法获利。 建议加强边界场景测试，并采用经过安全验证的算术运算机制，以防范同类协

PANews 12月1日消息，Yearn发推称，本次yETH相关攻击事件未波及yCRV产品。

PANews 12月1日消息，据PeckShieldAlert在X平台披露，Yearn Finance遭遇攻击，黑客通过无限铸造yETH耗尽资金池，造成约900万美元损失。其中约1000枚ETH（约合300万美元）被转入Tornado Cash，攻击者地址仍持有价值约600万美元的加密资产。

PANews 12月1日消息，据The Block报道，Yearn Finance旗下聚合质押代币产品yETH遭攻击，攻击者通过漏洞几乎无限铸造yETH，单笔交易耗尽池中资产。链上数据显示，攻击者随后将约1000枚ETH（约合300万美元）转入混币协议Tornado Cash。多个用于攻击的合约在交易后自毁。目前具体损失规模仍不明，Yearn表示正调查事件，其V2与V3