Yearn Finance suspeita de ataque, Hacker já enviou 1.000 ETH de fundos roubados para Tornado Cash

No dia 1 de dezembro, o protocolo de Finanças Descentralizadas Yearn Finance aparenta ter sofrido um ataque, com hackers esgotando o seu fundo de liquidez através da cunhagem infinita de yETH.

De acordo com a empresa de segurança PeckShield, as perdas totais causadas por este ataque são de aproximadamente 9 milhões de dólares.

Os dados da blockchain mostram que os atacantes transferiram 1000 moedas ETH (cerca de 3 milhões de dólares) para o misturador de criptomoedas Tornado Cash, enquanto o endereço do atacante ainda possui ativos criptográficos no valor de cerca de 6 milhões de dólares.

01 Resumo do Evento: O pool yETH foi rapidamente esvaziado

O produto Yearn Ether (yETH) da Yearn Finance sofreu um ataque grave em 1 de dezembro, sendo este um token índice que agrega vários tokens de staking de liquidez (LST) populares.

O atacante, através de uma vulnerabilidade cuidadosamente projetada, cunhou quase uma quantidade ilimitada de tokens yETH em uma única transação, esgotando rapidamente todo o fundo de liquidez.

De acordo com os dados da blockchain, este ataque envolveu vários contratos inteligentes recém-implantados, alguns dos quais se autodestroem imediatamente após a conclusão da transação, o que aumenta a complexidade da investigação do evento.

Após o ataque, a Yearn Finance publicou uma declaração na plataforma X: “Estamos a investigar o incidente envolvendo o pool yETH LST StableSwap, os cofres V2 e V3 da Yearn não foram afetados.”

02 Métodos de Ataque: Cunhagem Infinita e Transferência de Fundos

De acordo com a monitorização do usuário X Togbe, eles descobriram este ataque anômalo ao monitorizar grandes transferências.

Togbe explicou: “A transferência líquida mostra que yETH foi excessivamente cunhado, o que permite que o atacante drene o fundo de liquidez e lucre cerca de 1.000 ETH.”

Durante o ataque, parte do ETH foi sacrificada por razões desconhecidas, mas o atacante ainda obteve lucro.

Após o ataque, o hacker transferiu 1000 ETH (no valor de cerca de 3 milhões de dólares) para o Tornado Cash, que é um protocolo de privacidade descentralizado, frequentemente utilizado para ocultar o fluxo de fundos.

De acordo com os dados da PeckShield, o endereço do atacante ainda possui aproximadamente 6 milhões de dólares em ativos criptográficos.

03 Tornado Cash: Ferramentas de Privacidade e Controvérsia de Lavagem de Dinheiro

Tornado Cash é um protocolo de privacidade descentralizado baseado em ETH, que ajuda os usuários a ocultar informações de transação através de tecnologia de prova de conhecimento zero.

O protocolo oferece proteção de privacidade aos usuários ao cortar a ligação on-chain entre os endereços de depósito e retirada.

No entanto, essa característica de privacidade também a torna a ferramenta preferida dos hackers para lavagem de dinheiro.

O Departamento do Tesouro dos EUA colocou o Tornado Cash na lista de sanções em agosto de 2022, alegando que desde 2019, o grupo de hackers Lazarus usou a plataforma várias vezes para lavar dinheiro, envolvendo quantias que chegam a centenas de milhões de dólares.

Em março de 2025, o Tornado Cash foi finalmente removido da lista de sanções do Departamento do Tesouro dos EUA, o que é visto como uma importante vitória para a indústria de blockchain.

04 A história de segurança da Yearn Finance

Esta não é a primeira vez que o Yearn Finance enfrenta um incidente de segurança.

Em 2021, o protocolo foi alvo de um ataque, afetando seu cofre yDAI, resultando em uma perda de 11 milhões de dólares, com o hacker obtendo um lucro final de 2,8 milhões de dólares.

Em dezembro de 2023, devido a um erro de script, uma posição de tesouraria desse protocolo teve uma perda de 63%, mas os fundos dos usuários não foram afetados.

O fundador do Yearn Finance, Andre Cronje, lançou o projeto em 2020, mas saiu dois anos depois.

05 Impacto do mercado e queda geral das criptomoedas

No momento do ataque, o mercado de criptomoedas está passando por uma grande queda.

Na manhã de 1 de dezembro, o Bitcoin caiu para menos de 86 mil dólares, com uma desvalorização diária superior a 5%; o Ethereum também perdeu o nível de 2900 dólares.

Os dados da Coinglass mostram que, nas últimas 24 horas, o total de liquidações de contratos de criptomoedas ultrapassou 500 milhões de dólares, com o número de pessoas liquidadas atingindo 177.200.

A queda do mercado pode estar relacionada a rumores de mercado – há relatos de que o presidente da Reserva Federal, Jerome Powell, pode renunciar, no entanto, os principais meios de comunicação internacionais não noticiaram essa informação, e analistas acreditam que isso é muito provavelmente uma notícia falsa.

06 Resposta da Indústria e Perspectivas Futuras

Cada ataque de hacker levanta dúvidas sobre a segurança do DeFi.

No caso do Tornado Cash, o Departamento de Justiça dos EUA apresentou em agosto de 2023 uma acusação criminal contra os cofundadores do Tornado Cash, Roman Storm e Roman Semenov, acusando-os de conspirar para lavar dinheiro, operar um negócio de transferência de fundos sem licença e violar regulamentos de sanções.

As organizações do setor manifestaram oposição, o Coin Center apontou que “considerar o desenvolvimento de software de código aberto como crime é uma repressão à inovação tecnológica.”

Para os investidores institucionais, o caso Tornado Cash demonstra que os reguladores agora exigem conformidade ativa, e não apenas a verificação da identidade dos contrapartes.

As instituições precisam implementar um sistema de monitoramento em tempo real de blockchain e combinar isso com a triagem automatizada de sanções para identificar e impedir transações problemáticas antes que ocorram.

Perspectivas Futuras

A empresa de segurança em blockchain PeckShield estima que a perda total causada por este ataque seja de cerca de 9 milhões de dólares, dos quais cerca de 3 milhões foram transferidos para o Tornado Cash, enquanto o endereço do atacante ainda detém cerca de 6 milhões de dólares em ativos criptográficos.

Até ao momento da publicação, a equipa da Yearn Finance ainda está a investigar este incidente e confirmou que os seus cofres V2 e V3 não foram afetados. Este incidente destaca novamente os desafios contínuos que o setor DeFi enfrenta em termos de segurança e conformidade regulatória.