Yearn Finance informó que el producto YETH heredado estaba sujeto a un exploit que permitía a un atacante crear una gran cantidad de tokens falsos e intercambiarlos por activos reales.
Lectura relacionada
Según las alertas en cadena y las declaraciones de protocolo, el atacante creó un suministro prácticamente infinito de yETH en una sola transacción y luego usó estos tokens para extraer ETH y derivados líquidos de los fondos de liquidez.
El incidente se informó por primera vez el 30 de noviembre de 2025 y los daños totales se estimaron en aproximadamente 9 millones de dólares.
El exploit implicó acuñar una cantidad casi infinita de tokens yETH, agotando el grupo en una sola transacción.
~1 mil $ETH (valorado en unos 3 millones de dólares) fue enviado a #TornadoCashy explotador… pic.twitter.com/IXNygpwoWa
Cómo funcionó el exploit
Según los informes, el atacante aprovechó una falla en la lógica de creación de yETH y produjo alrededor de 235 billones de tokens a la vez.
Estos tokens sin valor luego se intercambiaron por activos reales de los grupos Balancer y Curve vinculados al producto, drenando liquidez en cuestión de minutos. Los monitores de cadena y los investigadores de seguridad han demostrado que la acuñación y los intercambios posteriores ocurren muy rápidamente en la cadena de bloques.
El 30 de noviembre a las 21:11 UTC, ocurrió un incidente con el grupo de intercambio estable de yETH, lo que resultó en la liberación de una gran cantidad de yETH. El contrato afectado es una versión especial del popular código de reemplazo estable y no está asociado con otros productos de Yearn. El almacenamiento de Yearn V2/V3 no está en riesgo.
¿Qué bienes fueron incautados?
Los informes indican que se tomaron aproximadamente 8 millones de dólares del principal grupo de intercambio estable de yETH, y aproximadamente 0,9 millones de dólares del grupo de yETH-WETH.
Además, se enviaron a Tornado Cash aproximadamente 1.000 ETH, que valían aproximadamente 3 millones de dólares en el momento del movimiento, en un intento de cubrir el rastro. El atacante convirtió el yETH falso en una mezcla de ETH y tokens de participación líquida antes de intentar lavar los fondos.
La capitalización total del mercado de criptomonedas asciende actualmente a 2,92 billones de dólares. Gráfico: Impacto de TradingView en los productos principales de Yearn
Según los representantes de Yearn y los informes posteriores, el hack se limitó a una implementación más antigua y desactualizada del producto yETH y no afectó las principales instalaciones de almacenamiento de Yearn V2 y V3.
Se aislaron los sedimentos en la piscina afectada mientras el equipo y expertos externos iniciaban una investigación. Se dice que este aislamiento protegió a la mayoría de los fondos de los usuarios en bóvedas activas del acceso no autorizado.
Reacción del mercado y preocupaciones más amplias
Lectura relacionada
Yearn Finance dijo que está trabajando con equipos de seguridad externos para realizar una investigación y solucionar la vulnerabilidad. Según los informes, los equipos mencionados en el informe incluyen auditores externos e investigadores de blockchain que rastrean los fondos robados y asesoran sobre las opciones de recuperación.
Un aviso que acompaña al protocolo advertía a los usuarios sobre el producto obsoleto afectado y pedía precaución mientras continuaba la revisión.
Imagen destacada de Unsplash, gráfico de TradingView
