Yearn Finance afectado por la explotación de yETH con $3M enviados a Tornado Cash

Yearn Finance está lidiando con una nueva violación de seguridad después de que un atacante explotara su contrato de token yETH y drenara millones en ETH y staking liquido de los pools de Balancer. Resumen

• La explotación apuntó a un contrato yETH más antiguo, permitiendo al atacante acuñar un suministro ilimitado de tokens y vaciar el pool de Balancer.
• Alrededor de 1,000 ETH se movieron a través de Tornado Cash poco después del ataque, con más activos aún mantenidos en las billeteras del atacante.
• Yearn confirmó que el problema está aislado de sus bóvedas V2 y V3 y está preparando un informe detallado sobre el incidente.

El incidente se desarrolló tarde el 30 de noviembre cuando un atacante activó un fallo de acuñación infinita dentro del contrato yETH. Luego acuñaron una cantidad imposible de yETH, más de 235 billones de tokens, en una sola transacción.

Con esos tokens, el atacante se movió rápidamente a través de las piscinas de Balancer, eliminando activos reales, incluidos ETH y derivados de staking populares. Las primeras pistas muestran cerca de $3 millones fluyendo a través de Tornado Cash poco después del exploit, mientras que la dirección del atacante aún mantiene activos adicionales vinculados al evento.

Explotación aislada al producto yETH legado

Los datos de blockchain muestran que el pool de stableswap yETH se vació en minutos, dejando un agujero de aproximadamente $2.8 millones. Yearn Finance(YFI) dijo que el problema se encuentra en una implementación más antigua de yETH y no afecta a sus Vaults V2 o V3. Los protocolos construidos sobre Yearn V3, incluyendo Katana, también informaron que no tienen exposición.

Estamos investigando un incidente que involucra el pool de stableswap yETH LST.

Yearn Vaults ( tanto V2 como V3) no están afectados.

— yearn (@yearnfi) 30 de noviembre de 2025

Varios contratos auxiliares aparecieron justo momentos antes del ataque y desaparecieron mediante llamadas de autodestrucción una vez que la piscina fue drenada, haciendo más difícil seguir el rastro.

Los equipos de seguridad que revisan las transacciones, incluidos los auditores que rastrean los productos más antiguos de Yearn, vincularon el evento a una debilidad de acuñación de larga data dentro de la lógica del token yETH, en lugar de un problema en la arquitectura actual de la bóveda de Yearn.

El protocolo mantiene un programa de recompensas por errores en vivo con recompensas que alcanzan los $200,000 por descubrimientos críticos, aunque aún no se ha anunciado ninguna ruta de recuperación.

El movimiento en cadena se intensifica tras el drenaje de liquidez

Poco después de que el pool colapsara, el usuario X Togbo señaló varios movimientos de lotes de 100 ETH que pasaron a través de Tornado Cash. Alrededor de 1,000 ETH en total se mezclaron en las horas posteriores al exploit. El atacante aún retiene activos adicionales por un valor de varios millones de dólares en múltiples billeteras.

algunas otras cosas relacionadas con balancer que parecen un exploit considerando las interacciones intensas con tornado

yearn, rocket pool, origin, dinero y otros LST que circulan pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) 30 de noviembre de 2025

El pool yETH tenía aproximadamente $11 millones antes de la brecha, y aunque el número final de pérdidas aún está bajo revisión, Yearn dijo que los fondos de los usuarios dentro de los vaults activos permanecen seguros.

Este incidente se suma al largo historial del protocolo en la gestión de riesgos heredados, años después de su exploit de yDAI en 2021 y una mala configuración del tesoro en 2023 que no afectó a los depositantes. YFI cayó aproximadamente un 4% después del evento y se negoció cerca de $4,002 en el momento de la publicación.