Por Angel Di Matteo   𝕏 @shadowargel

La plataforma reveló detalles operativos sobre la vulnerabilidad en cuestión, reconociendo falla presente en su pool yETH, reportando a su vez el proceso de recuperación de parte de los fondos robados.

***

  • El ataque aprovechó un bug que permitió acuñar tokens LP en “cantidad infinita”.
  • La recuperación inicial es de 857,49 pxETH; más fondos podrían recuperarse.
  • Los usuarios afectados serán reembolsados con los activos recuperados.

 

Yearn Finance publicó un análisis detallado sobre el exploit que afectó la semana pasada a su pool yETH,  producto que integra múltiples tokens de staking en Ethereum. La investigación confirma que un error numérico permitió a un atacante acuñar una cantidad casi ilimitada de tokens LP y drenar aproximadamente USD $9 millones en activos.

La compañía especificó que sus bóvedas v2 y v3 y otros productos no resoltaron afectados. El impacto se limitó exclusivamente al yETH y sus integraciones directas, lo que brinda cierta tranquilidad a usuarios de otras estrategias dentro del ecosistema Yearn Finance.

El incidente ocurrió en el bloque 23.914.086 del 30 de noviembre de 2025. Según el reporte, la falla se originó en un pool stableswap heredado, que había quedado operativo sin las salvaguardas presentes en los componentes más recientes del protocolo.

El ataque: un error matemático con efectos devastadores

El análisis forense describe que el pool agregaba varios tokens de staking líquido de Ethereum, entre ellos apxETH, sfrxETH, wstETH, cbETH, rETH, ETHx, mETH y wOETH, además de un pool Curve yETH/WETH. Antes del ataque, la combinación mantenía un conjunto de LSTs y 298,35 WETH.

El exploit se ejecutó en tres fases.

  • Primero, el atacante manipulo depósitos desbalanceados para llevar el solver interno a un estado numérico divergente. Ese evento colapsó un término interno denominado Π, rompiendo el invariante del pool y permitiendo acuñar una cantidad excesiva de tokens LP respecto al valor real depositado.
  • Con esos tokens LP sobreemitidos, el atacante comenzó a retirar liquidez de manera repetida. Esto drenó casi todos los activos del pool y trasladó el costo del exceso de tokens hacia la liquidez propiedad del protocolo mantenida en contratos de staking.
  • En la fase final, el atacante reingresó en una ruta de inicialización diseñada solo para el lanzamiento del pool. Allí, un depósito especialmente diseñado provocó una operación de resta insegura que resultó en un underflow matemático. Ese error disparó una acuñación masiva descrita por Yearn Finance como de escala “infinite mint”.

Con esos tokens, el atacante terminó de drenar también el pool Curve yETH/ETH.

Respuesta y acciones inmediatas

El reporte indica que el “war room” de Yearn Finance se activó cerca de 20 minutos después del inicio del ataque. El grupo de respuesta SEAL 911 fue involucrado a las labores de investigación poco después.

En la misma noche del ataque, el atacante envió 1.000 ETH de los fondos robados a Tornado Cash. Luego, el 5 de diciembre, se enrutaron más fondos a través del mismo mixer. Informes previos del ataque indican que aproximadamente USD $3 millones en ETH fueron movidos en las horas iniciales posteriores al hack.

Pese a ello, la plataforma ha logrado reportar avances en recuperación. Se han recuperado 857,49 pxETH con el apoyo de varios equipos. Estos activos se distribuirán a los depositantes de yETH con base en sus balances registrados antes del ataque.

También se destinarán a los afectados futuros fondos que sean recuperados gracias a trazabilidad o cooperación con el atacante.

El documento de Yearn Finance recuerda que este producto está “gobernado de forma independiente por los depositantes” bajo la propuesta YIP-72. Además, recalca que la plataforma incluye un aviso de “Use at Own Risk/Utilice bajo su propio riesgo”, dejando claro que ni los colaboradores del protocolo ni la gobernanza de YFI asumen responsabilidad de reembolsos más allá de fondos recuperados.

Medidas de remediación y fortalecimiento técnico

Yearn Finance también presentó un plan para evitar incidentes similares. Este incluye:

  • Controles estrictos sobre el dominio del solver y considerar Π = 0 como una condición fatal.
  • Sustituir operaciones aritméticas inseguras por cálculos verificados.
  • Bloquear o deshabilitar la lógica de “bootstrap” una vez que un pool esté activo.
  • Implementar límites directos entre el valor de depósitos y la emisión de LP.
  • Mejorar las pruebas con fuzzing enfocado en invariantes y escenarios numéricos adversariales.

El equipo agradeció a ChainSecurity por el análisis de causa raíz y a SEAL 911 por la asistencia operativa, y sostuvo que continúa monitoreando los flujos relacionados con el atacante.

El incidente evidencia que incluso plataformas veteranas pueden enfrentar vulnerabilidades cuando se mantienen componentes heredados sin actualizaciones completas. Aunque el golpe fue significativo, la rápida respuesta de Yearn permitió recuperar parte del capital y establecer un proceso de restitución.

La investigación sigue abierta, y se espera que nuevas mejoras técnicas reconstruyan la confianza de los usuarios en el ecosistema de finanzas descentralizadas que la plataforma ha impulsado por años.

Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados