El 30 de noviembre de 2025, aproximadamente a las 21:11 UTC, un atacante explotó una vulnerabilidad de acuñación en el contrato de token yETH heredado de Yearn Finance. Al crear aproximadamente 235 billones de tokens yETH en una sola transacción, el atacante pudo desviar unos 8 millones de dólares del pool principal de stable-swap y 0,9 millones de dólares del pool yETH-WETH en Curve, sumando aproximadamente 9 millones de dólares en pérdidas. Fondos equivalentes a aproximadamente 1.000 ETH fueron posteriormente ruteados a través del mezclador Tornado Cash para ocultar la trazabilidad.
Yearn Finance confirmó rápidamente el incidente, aclarando que la explotación afectó únicamente a la implementación personalizada de stable-swap para el yETH heredado y no comprometió la infraestructura de Vault V2 o V3, que en conjunto mantienen un valor total bloqueado superior a los 600 millones de dólares. El incidente representó la última brecha de seguridad en la historia del protocolo de Yearn, tras explotaciones previas en 2021 y problemas relacionados con firmas múltiples en 2023, y subrayó los desafíos continuos en la protección del código heredado.
Análisis de blockchain por las firmas de seguridad SEAL 911 y ChainSecurity indicaron el despliegue de contratos auxiliares efímeros que se autodestruyeron tras la ejecución, lo que complicó los esfuerzos forenses. El atacante utilizó estos contratos para inflar la oferta de yETH y extraer activos reales sin activar las salvaguardas estándar de límite de acuñación. Las alertas en cadena marcaron de inmediato la anomalía, y la comunidad de gobernanza de Yearn inició discusiones sobre opciones de restitución poco después.
Tras la explotación, el token nativo del protocolo, YFI, sufrió una caída repentina de precio de aproximadamente un 5,5%, reflejando una caída de la confianza de los inversores y una reducción temporal en las proyecciones de ingresos del protocolo. Los volúmenes de negociación se dispararon a medida que bots de arbitraje y traders reactivos aprovecharon las dislocaciones de precios, acelerando aún más la volatilidad en los mercados asociados a Yearn.
En respuesta, Yearn Finance inició un plan de remediación multifacético, que incluye una propuesta de gobernanza para autorizar un airdrop Merkle de USDC por valor de 3,2 millones de dólares a las partes afectadas, la implementación de un parche v1.1 para hacer cumplir los límites de acuñación y la implementación de herramientas de monitoreo en tiempo real en todos los pools de stable-swap. También se ofreció una recompensa por errores de 500.000 dólares para hallazgos relacionados, con el objetivo de reforzar la seguridad del código y restaurar la confianza de los usuarios.
El ataque sirvió como recordatorio de los riesgos inherentes a mantener contratos DeFi heredados junto con estándares de protocolo que evolucionan. Los arquitectos del protocolo enfatizaron planes para descontinuar los componentes heredados a favor de alternativas auditadas y avaladas por la comunidad, al tiempo que subrayaron la resiliencia de las bóvedas centrales. Los observadores señalaron que las vulnerabilidades de acuñación infinita siguieron siendo un vector de ataque crítico en las finanzas descentralizadas, lo que llevó a pedir marcos de seguridad estandarizados y una revisión continua por parte de terceros.
A pesar de la brecha, la liquidez en las bóvedas V2 y V3 de Yearn permaneció intacta, sin interrupciones reportadas en depósitos de usuarios u operaciones. Los participantes del mercado supervisaron de cerca las discusiones de gobernanza y los hallazgos de auditoría, evaluando posibles implicaciones a largo plazo para la tokenómica del protocolo y el ecosistema DeFi en general. El incidente subrayó la importancia de prácticas de seguridad vigilantes y de una respuesta rápida ante incidentes para salvaguardar la infraestructura de las finanzas descentralizadas.
Comentarios (0)