O protocolo de finanças descentralizadas (DeFi) Yearn Finance sofreu uma grave violação de segurança, resultando em uma perda de aproximadamente US$ 9 milhões. De acordo com informações, o ataque ocorreu em um pool associado ao yETH, token que faz parte do protocolo.
Hackers tiveram acesso ao pool de swap estável legado associado ao yETH, obtido de forma ilegítima. Com isso eles puderam criar um número infinito de tokens e drenar a liquidez do protocolo.
A empresa de segurança blockchain Peckshield foi a primeira a alertar sobre o incidente. Na noite de domingo (30), a empresa anunciou o ataque em sua conta no X. O Yearn Finance confirmou o ataque duas horas depois e disse que a ação afetou apenas os pools de liquidez. Os cofres do protocolo, segundo a equipe, permaneceu intactos.
- Leia também: Jorge Seif defende reserva soberana de Bitcoin e critica excesso de regulação no Brasil
Falha em contrato possibilitou roubo
De acordo com a PeckShield, o atacante explorou uma vulnerabilidade crítica no contrato do token yETH, que permitiu a criação de novos yETH sem a necessidade de garantias adequadas. Ou seja, os invasores puderam emitir tokens infinitamente e sem dar contrapartidas.
Em seguida, os hackers começaram a drenar a liquidez de um pool fora dos produtos principais de cofres da Yearn. A equipe do protocolo afirmou que eles drenaram US$ 8 milhões do pool em si e mais US$ 900 mil em tokens yETH. O ataque também afetou outros pools localizados na plataforma Curve.
Confira nossas sugestões de Pre-Sales para investir agora
O alvo do ataque foi um contrato personalizado projetado para agregar derivativos Ethereum em staking, como stETH e rETH. Após o ataque, os responsáveis lavaram mais de US$ 3 milhões em ETH roubados através do Tornado Cash.
Enquanto isso, os US$ 6 milhões restantes em diversos ativos Ethereum em staking permanecem em seus endereços de carteira (0xa80d…c822), de acordo com as últimas varreduras do blockchain.
O Yearn Finance também confirmou a invasão em seu servidor. Após o ataque, o protocolo fez uma parceria com a organização Security Alliance (SEAL) para investigar como o roubo aconteceu. Eles afirmaram que os resultados da auditoria serão divulgados ao público.
Para os usuários impactados, a equipe orientou abrir um chamado de suporte no Discord do projeto e buscar orientações.
Investigação inicial
As primeiras conclusões sugerem que o incidente apresenta um nível de complexidade técnica semelhante ao do recente ataque à exchange descentralizada Balancer. O ataque ocorreu na sexta-feira (28/11) e resultou na perda de US$ 128 milhões em fundos. A DEX recuperou apenas US$ 8 milhões, mas já anunciou um plano para devolver os fundos perdidos pelos clientes.
Quanto ao ataque contra o Yearn Finance, analistas on-chain rastrearam o incidente na Balancer até uma falha de precisão na aritmética de ponto fixo inteira usada para calcular os fatores de escala em Composable Stable Pools (CSPs). Acredita-se que a mesma estratégia foi utilizada no ataque contra o protocolo.
Posteriormente, a SlowMist compartilhou que a falha levou a discrepâncias de preço sutis, porém repetidas, durante as trocas, principalmente quando os atacantes executavam múltiplas operações em uma única transação usando a função de troca em lote.
Enquanto isso, o incidente na Yearn ocorre logo após a exchange coreana Upbit sofrer sua própria falha de segurança, que resultou na perda de US$ 50 milhões em Ethereum (ETH).
- Leia também: Bitcoin Hoje 01/12/2025: BTC tem pior resultado mensal do ano e saídas recordes nos ETFs