Yearn Financeのトークン交換で、スクリプトの不具合が発生した。国庫残高の全額スワップ事故 トークン、lp-yCRVv2 の流動性は約380万に達する。

プロトコルが所有する流動性（POL）として知られるこの隠し場所は、Yearn'の財務のみに属し、ユーザーの資金は一切関与していない。

しかし、その影響はカーブのプールで現れ、大きなスリップが発生したが、その後すぐに正常化した。

問題を複雑にしているのは、この取引にはおよそ78万yvDAIトークンが含まれていたため、取引中の流動性トークンのスポット価格に基づくと、LP価値の約63％（約140万米ドル）がスリッページによって失われたことである。

すべての経緯

災難の中心は、Yearn'の主要製品であるyCRVであり、流動性トークンであるlp-yCRVv2の形で実質的なPOLリザーブに支えられている。

このトークンは、実質的にYearn'のプールされたveCRVポジションの1つのロックされたCRVを表す。

さらに、Yearn'の金庫は定期的にパフォーマンスフィーとして流動性トークンを受け取っており、通常は日々の運用のためにステーブルコインに変換される。

この不具合は、POLの全額があたかも手数料であるかのように扱われ、誤って取引マルチシグに移動されたために発生した。

このマルチシグはカウスワップでの取引 その中には、流動性トークンの全残高を交換する注文も含まれていた。

注文は発注後すぐに埋まった。

流動性トークンの全残高を取引マルチシグに誤って転送したことと、適切な出力チェックを欠いたスクリプトで、取引サイズに合理的な上限を設定できない論理的ミスがあったことだ。

1回の取引で30件以上の取引を行う複雑さが、人間によるレビューの難しさに拍車をかけた。

事件後、裁定取引ボットや市場関係者は混乱した価格を迅速に修正した。

事件の検証

再発防止のため、Yearn Financeはさらなる安全策を導入している。

まず、POLファンドを専属マネージャー契約に分離する。

DeFiプラットフォームでは、取引スクリプトにより分かりやすい出力メッセージを導入し、レビューを容易にする。

最後に、価格への影響に関する基準値をより厳しくする。

この事件は、4月にYearnの初期バージョン（iearn）に関連して発生した1160万ドルの被害や、2月にYearnの保管庫の1つでのエクスプロイトに起因する1100万ドルの損失など、Yearn Financeでの過去のエクスプロイトに続くものである。