Yearn Finance afectado por un exploit de yETH con $3M enviados a Tornado Cash

Yearn Finance está lidiando con una nueva brecha de seguridad después de que un atacante explotara su contrato de token yETH y drenara millones en ETH y activos de staking líquidos de los pools de Balancer.

El incidente se desarrolló a finales del 30 de noviembre cuando un atacante activó un fallo de acuñación infinita dentro del contrato yETH. Luego acuñaron una cantidad imposiblemente grande de yETH, más de 235 billones de tokens, en una sola transacción. 

Con esos tokens, el atacante se movió rápidamente a través de los pools de Balancer, eliminando activos reales, incluidos ETH y derivados de staking populares. Los rastros iniciales muestran cerca de $3 millones fluyendo a través de Tornado Cash poco después del exploit, mientras que la dirección del atacante aún mantiene activos adicionales vinculados al evento.

Exploit aislado al producto yETH heredado

Los datos de la blockchain muestran que el pool de stableswap yETH se vació en minutos, dejando un agujero de aproximadamente $2,8 millones. Yearn Finance(YFI) dijo que el problema se encuentra dentro de una implementación más antigua de yETH y no afecta a sus Vaults V2 o V3. Los protocolos construidos sobre Yearn V3, incluido Katana, también informaron que no tienen exposición.

Varios contratos auxiliares aparecieron momentos antes del ataque y desaparecieron a través de llamadas de autodestrucción una vez que el pool fue drenado, haciendo que el rastro sea más difícil de seguir.

Los equipos de seguridad que revisaron las transacciones, incluidos los auditores que rastrean los productos más antiguos de Yearn, vincularon el evento a una debilidad de acuñación de larga data dentro de la lógica del token yETH, en lugar de un problema en la arquitectura de vault actual de Yearn.

El protocolo mantiene un programa de recompensas por errores en vivo con recompensas que alcanzan los $200.000 por descubrimientos críticos, aunque aún no se ha anunciado ninguna vía de recuperación.

El movimiento en cadena se intensifica después del drenaje de liquidez

Poco después del colapso del pool, el usuario de X Togbo señaló varios movimientos de lotes de 100 ETH que pasaban por Tornado Cash. Alrededor de 1.000 ETH en total se mezclaron en las horas posteriores al exploit. El atacante aún conserva activos adicionales por valor de varios millones de dólares en múltiples billeteras.

El pool de yETH tenía aproximadamente $11 millones antes de la brecha, y aunque el número final de pérdidas aún está bajo revisión, Yearn dijo que los fondos de los usuarios dentro de las vaults activas permanecen seguros.

Este incidente se suma al largo historial del protocolo de gestión de riesgos heredados, años después de su exploit de yDAI en 2021 y una configuración errónea del tesoro en 2023 que no afectó a los depositantes. YFI cayó aproximadamente un 4% después del evento y se cotizaba cerca de $4.002 al momento de la publicación.