El 30 de novembre de 2025, cap a les 21:11 UTC, un atacant va explotar una vulnerabilitat de minteig en el contracte antic del token yETH de Yearn Finance. En crear aproximadament 235 bilions de tokens yETH en una sola transacció, l'atacant va poder desviar uns 8 milions de dòlars del pool principal de stable-swap i 0,9 milions de dòlars del pool yETH-WETH a Curve, sumant gairebé 9 milions de dòlars en pèrdues. Els fons equivalents a al voltant de 1.000 ETH van ser posteriorment enrutats a través del mixer Tornado Cash per obscureixer la traça.
Yearn Finance va confirmar l'incident ràpidament, aclarint que l'explotació només afectava la implementació personalitzada de stable-swap per al yETH antic i no va comprometre la infraestructura dels Vault V2 o V3, la qual, en conjunt, manté un valor total bloquejat superior a 600 milions de dòlars.
L'incident va representar la darrera vulneració de seguretat en la història del protocol de Yearn, després d'explotacions en 2021 i de qüestions relacionades amb multisig el 2023, i va subratllar els desafiaments continuats en la protecció del codi antic.
L'anàlisi de la cadena de blocs realitzada per les empreses de seguretat SEAL 911 i ChainSecurity va indicar el desplegament de contractes d'ajuda efímers que s'autodestruïen després de l'execució, complicant els esforços forenses.
L'atacant va aprofitar aquests contractes per inflar l'oferta de yETH i extreure actius reals sense activar les salvaguardes estàndard dels límits de minteig. Les alertes en cadena van assenyalar immediatament l'anomalia, i la comunitat de governança de Yearn va iniciar discussions sobre opcions de restitució poc després.
Després de l'explot, el token natiu YFI del protocol va experimentar una caiguda sobtada d'aproximadament un 5,5%, reflectint una davallada de la confiança dels inversors i una reducció temporal de les previsions d'ingressos del protocol. Els volums de negociació es van disparar a mesura que bots d'arbitratge i comerciants reactius sabien aprofitar les deslocalitzacions de preu, accelerant encara més la volatilitat als mercats vinculats a Yearn.
Com a resposta, Yearn Finance va iniciar un pla de remediació multifacètic, que inclou una proposta de governança per autoritzar un airdrop Merkle de 3,2 milions de USDC als grups d'interessats afectats, la implementació d'un pegat v1.1 per fer complir els límits de minteig, i el desplegament d'eines de monitorització en temps real a tots els pools de stable-swap. També s'ofereix una recompensa de 500.000 per a troballes relacionades, amb l'objectiu de reforçar la seguretat del codi i restablir la confiança dels usuaris.
La vulneració va servir com a recordatori dels riscos inherents a mantenir contractes DeFi legats juntament amb els estàndards de protocol que evolucionen. Els arquitectes del protocol van subratllar plans per desestimar components legats en favor d'alternatives auditades i aprovades per la comunitat, alhora que destacaven la resiliència dels cofres centrals. Els observadors van remarcar que les vulnerabilitats de minteig infinites continuaven sent un vector d'atac crític en les finances descentralitzades, provocant crides a marcs de seguretat estandarditzats i a una revisió contínua per tercers.
Malgrat l'incident, la liquiditat als cofres V2 i V3 de Yearn va romandre intacta, i no es van registrar interrupcions en els dipòsits dels usuaris ni en les operacions. Els participants del mercat van seguir de prop les discussions de governança i els resultats d'auditories, valorant les possibles implicacions a llarg termini per a la tokenòmica del protocol i per a l'ecosistema DeFi en general. L'incident va subratllar la importància de pràctiques de seguretat vigilants i de respostes ràpides davant incidències per protegir la infraestructura de finances descentralitzades.
Comentaris (0)