Yearn Finance atingido por exploração de yETH com $3M enviado para Tornado Cash

A Yearn Finance está lidando com uma nova violação de segurança após um atacante ter explorado seu contrato de token yETH e drenado milhões em ETH e apostas líquidas de pools da Balancer. Resumo

• A exploração visou um contrato yETH mais antigo, permitindo ao atacante criar uma oferta ilimitada de tokens e esvaziar a pool do Balancer.
• Cerca de 1.000 ETH foram movidos através do Tornado Cash logo após o ataque, com mais ativos ainda mantidos nas carteiras do atacante.
• A Yearn confirmou que o problema está isolado dos seus Cofres V2 e V3 e está a preparar um relatório detalhado sobre o incidente.

O incidente ocorreu no final do dia 30 de novembro, quando um atacante ativou uma falha de mintagem infinita dentro do contrato yETH. Eles então mintaram uma quantidade impossivelmente grande de yETH, mais de 235 trilhões de tokens, em uma única transação.

Com esses tokens, o atacante moveu-se rapidamente através das pools do Balancer, removendo ativos reais, incluindo ETH e derivados de staking populares. Os primeiros indícios mostram quase $3 milhões a fluir através do Tornado Cash logo após a exploração, enquanto o endereço do atacante ainda mantém ativos adicionais ligados ao evento.

Exploração isolada ao produto yETH legado

Os dados da blockchain mostram que a pool de stableswap yETH foi esvaziada em minutos, deixando um buraco de aproximadamente 2,8 milhões de dólares. Yearn Finance(YFI) disse que o problema reside numa implementação mais antiga do yETH e não afeta os seus Vaults V2 ou V3. Protocolos construídos sobre o Yearn V3, incluindo Katana, também relataram não ter exposição.

Estamos a investigar um incidente envolvendo o pool de stableswap yETH LST.

Yearn Vaults ( tanto V2 como V3) não estão afetados.

— yearn (@yearnfi) 30 de Novembro de 2025

Vários contratos auxiliares apareceram momentos antes do ataque e desapareceram através de chamadas de autodestruição assim que o pool foi drenado, tornando o rastro mais difícil de seguir.

As equipas de segurança que analisam as transações, incluindo auditores que rastreiam os produtos mais antigos da Yearn, ligaram o evento a uma fraqueza de cunhagem de longa data dentro da lógica do token yETH, em vez de um problema na arquitetura atual do cofre da Yearn.

O protocolo mantém um programa de recompensas por bugs ativo, com recompensas que chegam a 200.000$ para descobertas críticas, embora ainda não tenha sido anunciada uma via de recuperação.

O movimento on-chain intensifica-se após o esvaziamento de liquidez

Pouco depois do colapso do pool, o usuário X Togbo sinalizou vários movimentos de lotes de 100 ETH passando pelo Tornado Cash. Cerca de 1.000 ETH no total foram misturados nas horas seguintes ao exploit. O atacante ainda mantém ativos adicionais no valor de vários milhões de dólares em várias carteiras.

algumas outras coisas relacionadas ao balancer que parecem uma exploração considerando as interações pesadas com o tornado

yearn, rocket pool, origin, dinero e outros LST a circular pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) 30 de Novembro de 2025

O pool yETH tinha cerca de $11 milhões antes da violação, e enquanto o número final de perdas ainda está em revisão, a Yearn disse que os fundos dos usuários dentro dos cofres ativos permanecem seguros.

Este incidente acrescenta-se ao longo historial do protocolo na gestão de riscos legados, ocorrendo anos após a exploração do yDAI em 2021 e uma má configuração do tesouro em 2023 que não afetou os depositantes. O YFI caiu cerca de 4% após o evento e negociou perto de $4,002 no momento da redação.