Yearn Finance está lidiando con una nueva brecha de seguridad después de que un atacante explotara su contrato de token yETH y drenara millones en $ETH y activos de staking líquido de las piscinas de Balancer.
La explotación apuntó a un contrato yETH más antiguo, permitiendo al atacante acuñar un suministro ilimitado de tokens y vaciar la piscina de Balancer.
Alrededor de 1,000 ETH se movieron a través de Tornado Cash poco después del ataque, con más activos aún retenidos en las carteras del atacante.
Yearn confirmó que el problema está aislado de sus Vaults V2 y V3 y está preparando un informe detallado sobre el incidente.
El incidente se desarrolló tarde el 30 de noviembre cuando un atacante activó un defecto de acuñación infinita dentro del contrato yETH. Luego acuñaron un suministro imposiblemente grande de yETH, más de 235 billones de tokens en una sola transacción.
Con esos tokens, el atacante se movió rápidamente a través de las piscinas de Balancer, retirando activos reales, incluyendo ETH y derivados de staking populares. Las primeras pistas muestran cerca de $3 millones fluyendo a través de Tornado Cash poco después de la explotación, mientras que la dirección del atacante aún posee activos adicionales vinculados al evento.
Explotación aislada al producto yETH heredado
Los datos de la blockchain muestran que la piscina de yETH stableswap fue vaciada en minutos dejando un agujero de aproximadamente $2.8 millones. Yearn Financeyearn.finance
yfi-3.7%
yearn.finance dijo que el problema reside dentro de una implementación más antigua de yETH y no afecta a sus Vaults V2 o V3. Los protocolos construidos sobre Yearn V3, incluyendo Katana, también informaron que no hubo exposición.
Varios contratos auxiliares aparecieron justo momentos antes del ataque y desaparecieron a través de llamadas de autodestrucción una vez que la piscina fue drenada, haciendo que la pista fuera más difícil de seguir.
Los equipos de seguridad revisando las transacciones, incluidos los auditores que rastrean los productos más antiguos de Yearn, vincularon el evento a una debilidad de acuñación de larga data dentro de la lógica del token yETH, en lugar de un problema en la arquitectura actual de las bóvedas de Yearn.
El protocolo mantiene un programa de recompensas por errores en vivo con recompensas que alcanzan los $200,000 por descubrimientos críticos, aunque aún no se ha anunciado un camino de recuperación.
El movimiento en cadena se intensifica después del drenaje de liquidez
Poco después del colapso de la piscina, el usuario X Togbo señaló varios movimientos de lotes de 100 ETH pasando a través de Tornado Cash. Alrededor de 1,000 ETH en total fue mezclado en las horas posteriores a la explotación. El atacante aún retiene activos adicionales por valor de varios millones de dólares en múltiples billeteras.
La piscina de yETH tenía aproximadamente $11 millones antes de la violación, y aunque el número final de pérdidas aún está bajo revisión, Yearn dijo que los fondos de los usuarios dentro de las bóvedas activas permanecen seguros.
Este incidente se suma al largo historial del protocolo en la gestión de riesgos heredados, años después de su exploit de yDAI en 2021 y una mala configuración de tesorería en 2023 que no afectó a los depositantes. YFI cayó alrededor de un 4% después del evento y se negoció cerca de $4,002 en el momento de la publicación.
#CryptoNewss #WriteToEarnUpgrade #Write2Earn #ETH #VenomRana