- El pool yETH de Yearn Finance fue explotado a través de un defecto infinite-mint.
- El atacante drenó activos reales, extrayendo casi 3 millones de dólares en ETH.
- Aproximadamente 1.000 ETH se canalizaron a través de Tornado Cash en lotes.
Una vulnerabilidad de infinite-mint en el contrato yETH de Yearn Finance provocó un drenaje de liquidez de varios millones de dólares el domingo, obligando al protocolo a aislar el pool heredado afectado. Un atacante aprovechó la falla para acuñar 235 billones de tokens sintéticos, intercambiando inmediatamente la oferta inútil por activos reales antes de dirigir fondos al mezclador Tornado Cash.
Las mecánicas de la ‘Minta Infinita’
La incumplimiento se originó en el contrato yETH, un índice de staking líquido diseñado para agrupar activos como stETH y rETH. El atacante identificó un fallo lógico latente que permitía la acuñación no colateralizada de yETH.
El primer y más inmediato objetivo era un pool de liquidez de Balancer que soportara yETH. Una vez que la oferta inflada de tokens entró en el pool, permitió al explotador eliminar a gran escala los derivados reales de ETH y de staking líquido, extrayendo valor de un pool que anteriormente tenía casi 11 millones de dólares. La cifra inicial muestra que aproximadamente 3 millones de dólares en ETH fueron robados casi al instante.
Relacionado: El grupo Lazarus de Corea del Norte vinculado a un hackeo de Upbit de 37 millones de dólares, choques de sincronización con un acuerdo de Naver de 10.000 millones de dólares
El papel de yETH y la fuente de la debilidad
El producto yETH funciona como un índice de staking líquido, diseñado para reunir tokens populares de staking de ETH como stETH y rETH en un activo unificado. Sin embargo, el incidente reciente muestra que la lógica de los contratos inteligentes más antiguos aún puede contener puntos débiles latentes.
Los analistas que seguían el exploit señalaron que este problema se debía a un fallo de acuñación presente en una versión anterior de la implementación de yETH. Con esta laguna abierta, el atacante podría crear una enorme cantidad de yETH sin ninguna garantía colateral.
Una vez que el pozo perdió su respaldo, el atacante comenzó a partir el ETH robado en partes más pequeñas. Alrededor de 1.000 ETH, equivalentes a aproximadamente 3 millones de dólares, se trasladaron a Tornado Cash en lotes progresivos.
El mezclador de criptomonedas oculta las rutas de transacciones, lo que dificulta seguir la pista para los investigadores en la cadena. Los registros de blockchain confirman que este proceso comenzó momentos después del exploit y continuó en intervalos constantes.
Otros activos tomados durante el ataque aún permanecen en carteras asociadas al explotador, con evaluaciones iniciales que muestran varios millones de dólares en valor aún por mover.
Yearn Finance responde y evalúa los daños
Yearn Finance anunció que el exploit se encuentra íntegramente dentro del pool yETH y no afecta sus Bóvedas V2 ni V3. Estas bóvedas controlan significativamente más capital, lo que evitó que el incidente se convirtiera en un evento mucho más grave. El protocolo establece que sus bóvedas centrales permanecen totalmente protegidas y no afectadas por el fallo.
El equipo ha iniciado una revisión técnica más profunda, apoyada por grupos externos de seguridad, para comprender la magnitud total de la explotación. Las primeras evaluaciones indican que la pérdida podría alcanzar unos 9 millones de dólares cuando se cuenten todas las piscinas afectadas, aunque el drenaje confirmado inmediato se sitúa más cerca de 3 millones.
Relacionado: Upbit confirma un hackeo de 37 millones de dólares: Exchange dice que cubrirá cada dólar perdido
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
