Yearn Finance sospecha un ataque, el hacker ha enviado 1,000 ETH de los fondos robados a Tornado Cash

El 1 de diciembre, el protocolo de finanzas descentralizadas Yearn Finance aparentemente sufrió un ataque, el hacker agotó su fondo de liquidez a través de la acuñación infinita de yETH.

Según la empresa de seguridad PeckShield, las pérdidas totales causadas por este ataque ascienden a aproximadamente 9 millones de dólares.

Los datos de blockchain muestran que los atacantes han transferido 1000 ETH (aproximadamente 3 millones de dólares) a la mezcladora de criptomonedas Tornado Cash, mientras que la dirección del atacante todavía posee activos criptográficos por un valor de aproximadamente 6 millones de dólares.

01 Resumen del evento: el fondo yETH fue rápidamente drenado

El producto Yearn Ether (yETH) de Yearn Finance sufrió un grave ataque el 1 de diciembre, siendo este un token índice que agrega varios tokens de staking líquido (LST) populares.

El atacante acuñó una cantidad casi infinita de tokens yETH en una transacción a través de una vulnerabilidad cuidadosamente diseñada, drenando rápidamente todo el fondo de liquidez.

Según los datos de la blockchain, este ataque involucró múltiples contratos inteligentes recién desplegados, de los cuales algunos se autodestruyeron inmediatamente después de completar la transacción, lo que aumentó la complejidad de la investigación del evento.

Después del ataque, Yearn Finance emitió un comunicado en la plataforma X: “Estamos investigando el incidente relacionado con el pool StableSwap de yETH LST, los cofres V2 y V3 de Yearn no se vieron afectados.”

02 Métodos de ataque: acuñando infinito y transferencia de fondos

Según la monitorización del usuario X, Togbe, descubrieron este ataque anómalo al supervisar transferencias de grandes cantidades.

Togbe explicó: “La transferencia neta muestra que yETH fue sobreacuñado, lo que permitió a los atacantes drenar el fondo de liquidez de alguna manera y obtener ganancias de aproximadamente 1,000 ETH.”

Durante el ataque, parte del ETH fue sacrificada por razones desconocidas, pero el atacante aún obtuvo ganancias.

Después de lograr su objetivo, el atacante transfirió 1000 ETH (valorados en aproximadamente 3 millones de dólares) a Tornado Cash, que es un protocolo de privacidad descentralizado, a menudo utilizado para ocultar el flujo de fondos.

Según los datos de PeckShield, la dirección del atacante todavía posee activos criptográficos por un valor de aproximadamente 6 millones de dólares.

03 Tornado Cash: herramienta de privacidad y controversia sobre el lavado de dinero

Tornado Cash es un protocolo de privacidad descentralizado basado en ETH que ayuda a los usuarios a ocultar la información de transacciones mediante tecnología de pruebas de cero conocimiento.

El protocolo proporciona protección de privacidad a los usuarios al cortar el enlace en cadena entre las direcciones de depósito y retiro.

Sin embargo, esta característica de privacidad también lo convierte en la herramienta preferida de los hackers para el lavado de dinero.

El Departamento del Tesoro de EE. UU. incluyó a Tornado Cash en la lista de sanciones en agosto de 2022, argumentando que desde 2019, el grupo de hackers Lazarus ha utilizado repetidamente esta plataforma para lavar dinero, involucrando montos que alcanzan cientos de millones de dólares.

En marzo de 2025, Tornado Cash finalmente fue eliminado de la lista de sanciones del Departamento del Tesoro de EE. UU., lo que se considera una importante victoria para la industria blockchain.

04 La historia de seguridad de Yearn Finance

No es la primera vez que Yearn Finance enfrenta un incidente de seguridad.

En 2021, el protocolo fue atacado, afectando su bóveda de yDAI, lo que resultó en una pérdida de 11 millones de dólares, y el hacker obtuvo finalmente 2.8 millones de dólares.

En diciembre de 2023, debido a un error de script, una posición de tesorería de ese protocolo sufrió una pérdida del 63%, pero los fondos de los usuarios no se vieron afectados.

El fundador de Yearn Finance, Andre Cronje, lanzó el proyecto en 2020, pero se fue dos años después.

05 Impacto en el mercado y caída general de las criptomonedas

En el momento del ataque, el mercado de criptomonedas está experimentando una fuerte caída.

En la mañana del 1 de diciembre, el Bitcoin cayó por debajo de 86,000 dólares, con una caída diaria de más del 5%; el Ethereum también perdió el umbral de 2,900 dólares.

Los datos de Coinglass muestran que en las últimas 24 horas, el valor liquidado de contratos de criptomonedas en toda la red superó los 500 millones de dólares, con un total de 177,200 personas liquidadas.

La caída del mercado podría estar relacionada con rumores del mercado: se informa que el presidente de la Reserva Federal, Powell, podría renunciar; sin embargo, los principales medios de comunicación extranjeros no han reportado esta noticia, y los analistas creen que es muy probable que sea una noticia falsa.

06 Respuesta de la industria y perspectivas futuras

Cada evento de ataque hacker genera dudas sobre la seguridad de las Finanzas descentralizadas.

En el caso de Tornado Cash, el Departamento de Justicia de EE. UU. presentó en agosto de 2023 cargos penales contra los cofundadores de Tornado Cash, Roman Storm y Roman Semenov, acusándolos de conspiración para lavar dinero, operar un negocio de transferencia de fondos sin licencia y violar las regulaciones de sanciones.

Las organizaciones de la industria se oponen a esto, Coin Center señala que “considerar el desarrollo de software de código abierto como un crimen es una represión a la innovación tecnológica.”

Para los inversores institucionales, el caso de Tornado Cash demuestra que los reguladores ahora exigen cumplimiento proactivo, y no solo la verificación de la identidad de las contrapartes.

Las instituciones necesitan implementar un sistema de monitoreo de blockchain en tiempo real, junto con un filtrado automático de sanciones, para identificar y detener transacciones problemáticas antes de que ocurran.

Perspectivas futuras

La empresa de seguridad blockchain PeckShield estima que la pérdida total causada por este ataque asciende a aproximadamente 9 millones de dólares, de los cuales alrededor de 3 millones de dólares han sido transferidos a Tornado Cash, y la dirección del atacante todavía posee aproximadamente 6 millones de dólares en activos criptográficos.

Hasta el momento de publicar, el equipo de Yearn Finance aún está investigando este incidente y ha confirmado que sus bóvedas V2 y V3 no se han visto afectadas. Este incidente destaca nuevamente los desafíos continuos que enfrenta el ámbito de las Finanzas descentralizadas en términos de seguridad y cumplimiento regulatorio.