Yearn Finance golpeado por nueva explotación mientras el atacante acuña billones de Tokens yETH

Fuente: DefiPlanet Título original: Yearn Finance afectado por un nuevo exploit mientras el atacante emite billones de tokens yETH Enlace Original:

Desglose Rápido

• El atacante explotó un contrato antiguo de yETH para acuñar más de 235 billones de tokens y drenar los pools de Balancer.
• Al menos $3M ha pasado por Tornado Cash, con más fondos todavía vinculados a las billeteras del atacante.
• Yearn dice que sus bóvedas V2 y V3 siguen siendo seguras, limitando el impacto a la infraestructura desactualizada.

El ataque de acuñación infinita drena millones de los fondos de balancer

Yearn Finance está lidiando con una nueva brecha de seguridad después de que un atacante abusara de un fallo de larga data en su contrato de token yETH heredado. A finales del 30 de noviembre, el explotador activó una vulnerabilidad de acuñación infinita que les permitió generar más de 235 billones de tokens yETH en una sola transacción, un suministro muy superior al que debería existir.

Estamos investigando un incidente que involucra el grupo de stableswap yETH LST.

Yearn Vaults ( tanto V2 como V3) no están afectados.

Armado con este masivo lote de tokens, el atacante drenó rápidamente las piscinas de Balancer que contenían activos reales, incluyendo ETH y principales derivados de staking líquido. La piscina de intercambio estable yETH se drenó en minutos, resultando en un déficit estimado de $2.8 millones.

Incidente confinado al antiguo producto yETH, no a las bóvedas modernas

Yearn Finance confirmó que el problema se originó en una versión desactualizada de su lógica yETH, enfatizando que la falla no afecta a sus bóvedas V2 o V3. Los protocolos construidos sobre Yearn V3, como Katana, también informaron de cero exposición.

Los analistas de seguridad señalaron que un grupo de contratos auxiliares apareció brevemente antes del ataque y se autodestruyó una vez que se drenaron los pools, una táctica evasiva comúnmente utilizada para difuminar las huellas en la cadena. Las revisiones iniciales sugieren que la explotación se originó en una debilidad de acuñación conocida en el contrato legado, no en la arquitectura actual de Yearn.

El protocolo mantiene un programa activo de recompensas por errores que ofrece hasta $200,000 por hallazgos críticos, aunque no se ha anunciado ningún plan de recuperación.

Fondos enrutados a través de Tornado Cash en medio de un movimiento en curso

Los observadores en la cadena, incluido el investigador Togbo, informaron que el atacante movió ETH en lotes de 100 a través de Tornado Cash poco después de la explotación. Aproximadamente 1,000 ETH fueron mezclados en pocas horas, mientras que activos adicionales por valor de varios millones de dólares permanecen en las billeteras del atacante.

El pool de yETH tenía alrededor de $11 millones antes de la violación. Yearn reiteró que los fondos de los usuarios en bóvedas activas están seguros, incluso mientras se siguen contabilizando las cifras finales de pérdidas.

El incidente se suma a la historia de Yearn en el manejo de riesgos heredados, tras su explotación de yDAI en 2021 y una mala configuración del tesoro en 2023.