Yearn Finance Confirma $9 Milhões de Perdas Após Incidente de Mintagem Não Autorizada de YETH

Um atacante explorou um contrato yETH legado e drenou quase $9 milhões em dois pools de liquidez.

Cerca de $3 milhões de ETH roubados foram movidos através do Tornado Cash, enquanto $6 milhões permanecem na carteira do atacante.

A Yearn Finance confirmou que o problema afetou apenas o produto legado, enquanto as investigações continuam sem um plano de recuperação anunciado.

A Yearn Finance reportou um grande incidente de segurança após um atacante ter obtido acesso a um pool personalizado e criado um volume ilimitado de tokens yETH. O evento causou quase $9 milhões em perdas e levou a esforços imediatos de investigação. A plataforma declarou que o problema envolveu um produto legado e não afetou os cofres ativos. A violação desencadeou um novo escrutínio em todo o setor de finanças descentralizadas, enquanto investigadores rastreavam o movimento de ativos roubados.

Criação de Token Não Autorizada Permite Grande Drenagem de Ativos

O evento ocorreu a 30 de novembro às 21:11 UTC, quando um atacante visou um contrato ligado ao token yETH da Yearn. Investigadores afirmaram que o contrato utilizava um design único que diferia das principais ofertas da plataforma. Este design criou uma abertura que permitiu ao atacante cunhar tokens yETH muito além dos limites pretendidos. A cunhagem excessiva permitiu então retiradas diretas de pools de liquidez conectados.

O atacante removeu cerca de $8 milhões de um pool de stableswap primário. Além disso, o atacante extraiu cerca de $0,9 milhão de um pool yETH-WETH hospedado na Curve. A perda combinada atingiu quase $9 milhões. O incidente desenrolou-se numa única execução, que os investigadores descreveram como um esvaziamento rápido da liquidez acessível.

Movimento de Fundos Através do Tornado Cash Segue o Ataque

Logo após as retiradas não autorizadas, grupos de rastreamento observaram o atacante transferindo parte dos fundos roubados. Analistas da PeckShieldAlert relataram que o atacante moveu aproximadamente 1.000 ETH, no valor de cerca de $3 milhões, através do Tornado Cash. Este serviço normalmente permite a ofuscação de transações, o que limita a visibilidade sobre os destinos dos próximos passos.

O atacante manteve o controle dos ativos restantes. Os registros da carteira mostraram cerca de $6 milhões em vários tokens ainda mantidos pelo endereço identificado como 0xa80d…c822. Essas participações incluíam vários derivados de Ethereum em stake obtidos durante o esvaziamento inicial.

Equipe Yearn Finance Responde Enquanto a Investigação Continua

A Yearn Finance afirmou que a exploração afetou apenas o produto yETH legado. A equipe relatou que os cofres ativos e as posições dos usuários não enfrentaram exposição. Parceiros de segurança e grupos de auditoria estão agora a revisar o incidente para determinar o que permitiu a fraqueza do contrato e como ocorreu a cunhagem não autorizada. A Yearn Finance não anunciou qualquer processo de recuperação de ativos. Os investigadores continuam a documentar o movimento de fundos e a analisar o contrato comprometido. Os dados de mercado mostraram que o token de governança YFI foi negociado a cerca de $3,956 após o incidente e registrou uma queda de cerca de 4,4%.