Yearn Finance recupera 857 pxETH de la explotación de $9 millones de yETH, y presenta una estrategia integral de recuperación de activos y mejora de la seguridad

BearMarketBard · 2026-01-19T13:27:02+00:00

Yearn Finance analizó una vulnerabilidad de $9 millones en yETH, revelando que los esfuerzos de recuperación han recuperado 857.49 pxETH. La explotación se dirigió a una falla en el analizador de su pool de stableswap, lo que llevó a mejoras de seguridad inmediatas para prevenir incidentes futuros.

BearMarketBard

2026-01-19 13:27:02

Generación de resúmenes en curso

Yearn Finance ha publicado un análisis técnico en profundidad de la vulnerabilidad de yETH que resultó en aproximadamente $9 millones en activos robados, revelando que los esfuerzos de recuperación ya están en marcha. Con el apoyo de los servicios de recuperación de activos proporcionados por los equipos de Plume y Dinero, el protocolo ha recuperado con éxito 857,49 pxETH, lo que representa aproximadamente una cuarta parte de los fondos comprometidos. Estos activos recuperados serán devueltos proporcionalmente a los depositantes afectados de yETH.

El mecanismo de vulnerabilidad: un fallo aritmético multinivel

El exploit, que ocurrió en el bloque 23.914.086 el 30 de noviembre de 2025, explotó un fallo aritmético multinivel incrustado en el pool de liquidez legacy de stableswap de Yearn. El ataque se centró en una vulnerabilidad sofisticada dentro del analizador interno del pool, que agrega múltiples tokens de staking líquido (LSTs). Al ejecutar una cadena compleja de operaciones, el atacante forzó al analizador a un estado de contabilidad inconsistente, lo que finalmente provocó un desbordamiento aritmético que permitió la generación ilimitada de tokens LP. Esta misma vulnerabilidad se extendió a las interacciones con el pool Curve yETH/WETH, amplificando el impacto del ataque.

Impacto inmediato en la recuperación de activos

Los servicios de recuperación de activos desplegados por los equipos de Plume y Dinero han sido fundamentales para mitigar el daño. La recuperación exitosa de 857,49 pxETH demuestra la efectividad de los esfuerzos coordinados en incidentes de seguridad en DeFi. El compromiso de Yearn con la distribución proporcional de fondos asegura que los depositantes recibirán una compensación basada en su exposición al pool comprometido.

Alcance del impacto y sistemas no afectados

De manera crítica, Yearn confirmó que sus vaults v2 y v3, junto con otros productos principales, permanecieron seguros y no afectados por el exploit. La vulnerabilidad se limitó al pool de stableswap personalizado, evitando un colapso sistémico en el ecosistema del protocolo.

Plan de remediación y fortalecimiento de la seguridad

Para prevenir incidentes similares, Yearn ha implementado una estrategia de remediación integral. Las medidas clave incluyen:

Validación del analizador: Implementación de verificaciones explícitas de dominio dentro del analizador interno del pool para prevenir estados inconsistentes
Seguridad aritmética: Reemplazo de operaciones aritméticas inseguras por aritmética comprobada en todas las secciones críticas
Desactivación del bootstrap: Desactivar la lógica de bootstrap después de la inicialización del pool para eliminar ventanas de vulnerabilidad post-lanzamiento

Estas actualizaciones representan un cambio fundamental hacia una arquitectura de defensa en profundidad, asegurando que futuras iteraciones de los pools de liquidez de Yearn incorporen salvaguardas multinivel contra manipulaciones aritméticas y exploits en el análisis.

CRV-2,17%

DEFI-2,64%

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.