Yearn Finance hé lộ lỗi số học dẫn đến vụ “mint vô hạn” yETH trị giá 9 triệu USD

Giao thức DeFi Yearn Finance đã công bố báo cáo post-mortem về vụ tấn công yETH xảy ra tuần trước, chỉ ra rằng một lỗi số học trong pool stableswap cũ đã cho phép kẻ tấn công “mint gần như vô hạn” token LP và rút khoảng 9 triệu USD tài sản. Yearn cũng xác nhận đã thu hồi được một phần số tiền bị đánh cắp.

Sự cố và cơ chế tấn công

Theo Yearn, pool yETH weighted stableswap đã bị khai thác tại block 23.914.086 ngày 30/11/2025, sau một chuỗi thao tác phức tạp khiến bộ giải (solver) của pool rơi vào trạng thái sai lệch và cuối cùng dẫn đến lỗi arithmetic underflow.

Các vault v2, v3 và những sản phẩm khác không bị ảnh hưởng; thiệt hại chỉ tập trung ở yETH và các tích hợp liên quan.

Pool bị tấn công là stableswap tùy chỉnh tổng hợp nhiều token liquid staking (LST) như apxETH, sfrxETH, wstETH, cbETH, rETH, ETHx, mETH, wOETH cùng pool yETH/WETH. Trước vụ việc, các pool này nắm giữ rổ LST và 298,35 WETH.

Ba giai đoạn tấn công và đường “mint vô hạn”

Post-mortem chia cuộc tấn công thành ba giai đoạn:

1. Gây mất cân bằng nghiêm trọng trong add_liquidity
   
   Kẻ tấn công gửi các khoản nạp thanh khoản cực lệch, đẩy solver cố định của pool vào vùng hoạt động nằm ngoài thiết kế. Điều này khiến một biến số nội bộ (Π) sụp về 0, phá vỡ invariant của weighted stableswap và cho phép over-mint lượng lớn token LP.

2. Rút cạn tài sản bằng remove_liquidity
   
   Với lượng LP bị over-mint, kẻ tấn công liên tục gọi remove_liquidity và các hàm liên quan để rút hầu hết thanh khoản LST, đẩy chi phí mint sai lệch sang phần thanh khoản do giao thức sở hữu (POL). Quá trình này làm nguồn cung nội bộ của pool giảm về 0 dù số dư ERC-20 vẫn còn.

3. Kích hoạt lại đường “bootstrap” và tạo mint vô hạn
   
   Kẻ tấn công quay lại đường khởi tạo pool vốn chỉ dành cho lần triển khai đầu tiên. Bằng cách gửi cấu hình “dust” vi phạm điều kiện miền dữ liệu, họ kích hoạt thao tác unsafe_sub gây underflow, tạo ra lượng yETH LP “quasi-infinite”, sau đó dùng để rút sạch pool yETH/ETH trên Curve.

Thu hồi tài sản và định hướng xử lý

Yearn cho biết đã thu hồi được 857,49 pxETH nhờ phối hợp với Plume và Dinero; giao dịch thu hồi được thực hiện ngày 1/12. Số tiền này sẽ được phân phối theo tỷ lệ cho các người gửi yETH dựa trên số dư trước thời điểm khai thác.

Khoảng 1.000 ETH bị đánh cắp đã được đưa vào Tornado Cash trong tối ngày xảy ra sự cố, phần còn lại cũng được chuyển qua Tornado ngày 5/12. The Block trước đó ghi nhận khoảng 3 triệu USD ETH đã được gửi vào mixer ngay sau vụ tấn công.

Yearn nhấn mạnh yETH hoạt động theo cơ chế tự quản dựa trên YIP-72, kèm điều khoản “Use at Own Risk”, và khẳng định đội ngũ Yearn cũng như cộng đồng YFI không chịu trách nhiệm bồi hoàn. Mọi tài sản thu hồi được sẽ hoàn trả cho người dùng bị ảnh hưởng.

Kế hoạch khắc phục

Để ngăn sự cố tái diễn, Yearn đề xuất các biện pháp:

• Thêm kiểm tra điều kiện miền rõ ràng cho solver; xem Π = 0 là lỗi nghiêm trọng.

• Thay thế toàn bộ phép toán không an toàn bằng checked math ở các phần quan trọng.

• Vô hiệu hoặc hạn chế logic bootstrap khi pool đã đi vào hoạt động.

• Giới hạn cứng lượng LP phát hành tương ứng với giá trị ký gửi thực.

• Mở rộng phạm vi kiểm thử với fuzzing theo invariant, test số học đối nghịch và kiểm thử đối chiếu với mô hình off-chain.

Yearn ghi nhận ChainSecurity hỗ trợ phân tích nguyên nhân gốc rễ và SEAL 911 hỗ trợ phản ứng sự cố và thu hồi tài sản. Công tác điều tra và theo dõi dòng tiền của kẻ tấn công vẫn đang tiếp tục.

• Yearn finance bị tấn công yETH, thất thoát khoảng 1.000 ETH trong một giao dịch
• Andre Cronje tiết lộ nguyên nhân rút khỏi DeFi là do SEC “quấy rối” liên tục
• Yearn Finance thu hồi khoảng 2,4 triệu USD tài sản bị đánh cắp sau vụ hack

Vương Tiễn