Yearn Finance Confirma $9 Millones de Pérdida Tras el Incidente de Acuñación No Autorizada de YETH

Un atacante explotó un contrato yETH de legado y drenó casi $9 millones a través de dos fondos de liquidez.

Acerca de $3 millones en ETH robados movidos a través de Tornado Cash, mientras que $6 millones permanecen en la billetera del atacante.

Yearn Finance confirmó que el problema afectó solo al producto legado mientras las investigaciones continúan sin un plan de recuperación anunciado.

Yearn Finance reportó un incidente de seguridad importante después de que un atacante ganara acceso a un fondo de liquidez personalizado y creara un volumen ilimitado de tokens yETH. El evento causó pérdidas de casi $9 millones y provocó esfuerzos de investigación inmediatos. La plataforma declaró que el problema involucraba un producto legado y no afectó a las bóvedas activas. La violación provocó un nuevo escrutinio en todo el sector de finanzas descentralizadas mientras los investigadores rastreaban el movimiento de activos robados.

La creación de tokens no autorizada permite un gran drenaje de activos

El evento ocurrió el 30 de noviembre a las 21:11 UTC cuando un atacante dirigió su ataque a un contrato vinculado al token yETH de Yearn. Los investigadores afirmaron que el contrato utilizaba un diseño único que difería de las ofertas principales de la plataforma. Este diseño creó una apertura que permitió al atacante acuñar tokens yETH muy por encima de los límites previstos. La acuñación excesiva luego permitió retiradas directas de los fondos de liquidez conectados.

El atacante retiró alrededor de $8 millones de un fondo de liquidez de stableswap primario. Además, el atacante extrajo aproximadamente $0.9 millones de un fondo de liquidez yETH-WETH alojado en Curve. La pérdida combinada alcanzó cerca de $9 millones. El incidente se desarrolló en una única ejecución, que los investigadores describieron como un drenaje rápido de la liquidez accesible.

El movimiento de fondos a través de Tornado Cash sigue al ataque

Poco después de los retiros no autorizados, los grupos de seguimiento observaron al atacante transfiriendo parte de los fondos robados. Los analistas de PeckShieldAlert informaron que el atacante movió aproximadamente 1,000 ETH, por un valor de alrededor de $3 millones, a través de Tornado Cash. Este servicio permite comúnmente la ofuscación de transacciones, lo que limita la visibilidad sobre los destinos del siguiente paso.

El atacante retuvo el control de los activos restantes. Los registros de la billetera mostraron alrededor de $6 millones en varios tokens aún mantenidos por la dirección identificada como 0xa80d…c822. Estas tenencias incluían varios derivados de Ethereum en staking tomados durante el drenaje inicial.

El equipo de Yearn Finance responde mientras continúa la investigación.

Yearn Finance declaró que la explotación afectó solo al producto legado yETH. El equipo informó que las bóvedas activas y las posiciones de los usuarios no enfrentaron exposición. Los socios de seguridad y los grupos de auditoría ahora están revisando el incidente para determinar qué permitió la debilidad del contrato y cómo ocurrió la acuñación no autorizada. Yearn Finance no ha anunciado ningún proceso de recuperación de activos. Los investigadores continúan documentando el movimiento de fondos y analizando el contrato comprometido. Los datos del mercado mostraron que el token de gobernanza YFI se negociaba cerca de $3,956 después del incidente y registró una disminución de aproximadamente 4.4%.