El protocolo de finanzas descentralizadas (DeFi) Yearn Finance sufrió una grave violación de seguridad, que resultó en una pérdida de aproximadamente USD 9 millones. Según la información disponible, el ataque ocurrió en un pool asociado al yETH, un token que forma parte del protocolo.
Los hackers obtuvieron acceso al antiguo pool de swap estable asociado al yETH, algo conseguido de manera ilegítima. Con ello, pudieron crear un número infinito de tokens y drenar la liquidez del protocolo.
La empresa de seguridad blockchain PeckShield fue la primera en alertar sobre el incidente. En la noche del domingo (30), la compañía anunció el ataque en su cuenta de X. Yearn Finance confirmó el ataque dos horas después y afirmó que la acción afectó únicamente a los pools de liquidez. Los cofres del protocolo, según el equipo, permanecieron intactos.
Fallo en contrato permitió el robo
Según PeckShield, el atacante explotó una vulnerabilidad crítica en el contrato del token yETH, que permitió la creación de nuevos yETH sin necesidad de garantías adecuadas. Es decir, los invasores pudieron emitir tokens infinitamente sin ofrecer contrapartidas.
Luego, los hackers comenzaron a drenar la liquidez de un pool que estaba fuera de los productos principales de cofres de Yearn. El equipo del protocolo afirmó que los atacantes drenaron USD 8 millones del pool y otros USD 900.000 en tokens yETH. El ataque también afectó a otros pools ubicados en la plataforma Curve.
El objetivo del ataque fue un contrato personalizado diseñado para agrupar derivados de Ethereum en staking, como stETH y rETH. Después del ataque, los responsables lavaron más de USD 3 millones en ETH robados a través de Tornado Cash.
Mientras tanto, los USD 6 millones restantes en diversos activos de Ethereum en staking permanecen en sus direcciones de cartera (0xa80d…c822), según los últimos análisis del blockchain.
Yearn Finance también confirmó una invasión en su servidor. Tras el ataque, el protocolo se asoció con la organización Security Alliance (SEAL) para investigar cómo ocurrió el robo. Señalaron que los resultados de la auditoría se harán públicos.
Para los usuarios afectados, el equipo indicó que deben abrir un ticket de soporte en el Discord del proyecto y seguir las orientaciones.
Investigación inicial
Las primeras conclusiones sugieren que el incidente presenta un nivel de complejidad técnica similar al reciente ataque a la exchange descentralizada Balancer. El ataque ocurrió el viernes (28/11) y resultó en la pérdida de USD 128 millones en fondos. La DEX recuperó solo USD 8 millones, pero ya anunció un plan para devolver los fondos perdidos por los clientes.
En cuanto al ataque contra Yearn Finance, analistas on-chain rastrearon el incidente en Balancer hasta una falla de precisión en la aritmética de punto fijo entero utilizada para calcular los factores de escala en los Composable Stable Pools (CSPs). Se cree que la misma estrategia fue usada en el ataque contra el protocolo.
Posteriormente, SlowMist compartió que la falla causó discrepancias de precio sutiles, pero repetidas durante los intercambios, especialmente cuando los atacantes ejecutaban múltiples operaciones en una sola transacción usando la función de intercambio por lotes.
Mientras tanto, el incidente en Yearn ocurre poco después de que la exchange coreana Upbit sufriera su propia falla de seguridad, que resultó en la pérdida de USD 50 millones en Ethereum (ETH).