Yearn Finance yETH Pool Explotado: $3 Millones en ETH Lavados a Través de Tornado Cash

El protocolo de yield-farming Yearn Finance confirmó una explotación en su producto yETH el 30 de noviembre de 2025, donde un atacante acuñó un suministro ilimitado de tokens yETH y drenó aproximadamente $3 millones en activos de los fondos de liquidez conectados. Los fondos robados, valorados en alrededor de 1,000 ETH, fueron posteriormente blanqueados a través del mezclador de privacidad Tornado Cash, según el análisis on-chain.

Detalles del Incidente

El ataque se dirigió a una implementación más antigua del fondo de liquidez yETH stableswap en Balancer, lo que permitió al explotador generar un número casi infinito de tokens yETH en una sola transacción. Esto permitió al atacante retirar activos reales, incluyendo ETH y derivados de staking líquidos populares, dejando un hueco de aproximadamente $2.8 millones en el fondo. Yearn Finance informó sobre el incidente en X, afirmando: “Estamos investigando un incidente relacionado con el fondo de liquidez yETH LST stableswap. Yearn Vaults ( tanto V2 como V3) no se ven afectados.”

Los exploradores de blockchain muestran que la explotación involucró contratos inteligentes recién desplegados que se autodestruyeron después de la ejecución, obscureciendo la pista. El atacante luego fragmentó los 1,000 ETH en lotes más pequeños y los encaminó a través de Tornado Cash, un protocolo sancionado conocido por obfuscar los historiales de transacciones.

Respuesta y Alcance de Yearn

Yearn enfatizó que la vulnerabilidad estaba aislada a un contrato experimental yETH y no impactó sus Vaults V2 o V3, que gestionan más de $500 millones en activos. El protocolo mantiene un programa de recompensas por errores activo con recompensas de hasta $200,000 por descubrimientos críticos, aunque no se ha anunciado un camino de recuperación inmediato. Un informe detallado está por venir mientras el equipo continúa su investigación.

Las firmas de seguridad que rastrean el evento, incluidos los auditores que revisan los productos heredados de Yearn, atribuyeron la violación a una debilidad de acuñación de larga data en la lógica del token yETH en lugar de un defecto en la arquitectura actual del vault.

Contexto más amplio en la seguridad DeFi

Esta explotación es parte de un mes desafiante para DeFi, donde el sector perdió aproximadamente $127 millones debido a hacks, estafas y vulnerabilidades en noviembre de 2025, según datos de CertiK. Subraya los riesgos continuos en las implementaciones de contratos inteligentes más antiguos, incluso para protocolos establecidos como Yearn, y la importancia de deprecar el código heredado.

La comunicación transparente de Yearn y el aislamiento del problema han sido elogiados por la comunidad, evitando un desastre a mayor escala. El incidente sirve como un recordatorio para que los usuarios monitoreen las actualizaciones del protocolo y eviten productos experimentales con vulnerabilidades sin parchar.

En resumen, la explotación de Yearn yETH drenó $3 millones en activos, con el atacante acuñando tokens ilimitados y blanqueando fondos a través de Tornado Cash. Yearn confirmó que el problema está contenido en un contrato más antiguo, sin impacto en los fondos principales, y está investigando más a fondo mientras mantiene su programa de recompensas por errores.