Ano Finance yETH Pool Explorada: $3 Milhões em ETH Lavados Através do Tornado Cash

O protocolo de yield-farming Yearn Finance confirmou uma exploração no seu produto yETH em 30 de novembro de 2025, onde um atacante cunhou uma oferta ilimitada de tokens yETH e drenou aproximadamente $3 milhões em ativos de pools de liquidez conectados. Os fundos roubados, avaliados em cerca de 1.000 ETH, foram posteriormente lavados através do misturador de privacidade Tornado Cash, de acordo com a análise na cadeia.

Detalhes do Incidente

O ataque visou uma implementação mais antiga do pool de stableswap yETH no Balancer, permitindo ao explorador gerar um número quase infinito de tokens yETH em uma única transação. Isso permitiu ao atacante retirar ativos reais, incluindo ETH e derivados de staking líquidos populares, deixando um buraco de aproximadamente $2.8 milhões no pool. A Yearn Finance relatou o incidente no X, afirmando: “Estamos investigando um incidente envolvendo o pool de stableswap yETH LST. Os Vaults Yearn ( tanto V2 quanto V3) não estão afetados.”

Os exploradores de blockchain mostram que a exploração envolvia contratos inteligentes recém-implantados que se autodestruíram após a execução, obscurecendo a trilha. O atacante então fragmentou os 1.000 ETH em lotes menores e os roteou através do Tornado Cash, um protocolo sancionado conhecido por ofuscar os históricos de transações.

Resposta e Âmbito da Yearn

A Yearn enfatizou que a vulnerabilidade estava isolada a um contrato experimental yETH e não afetou os seus Vaults V2 ou V3, que gerem mais de $500 milhões em ativos. O protocolo mantém um programa de recompensas por bugs ativo, com recompensas de até $200,000 por descobertas críticas, embora nenhum caminho de recuperação imediato tenha sido anunciado. Um relatório detalhado está a caminho à medida que a equipe continua a sua investigação.

As firmas de segurança que monitorizam o evento, incluindo auditores que revisam os produtos legado da Yearn, atribuíram a violação a uma fraqueza de cunhar de longa data na lógica do token yETH, em vez de um defeito na arquitetura atual do cofre.

Contexto Mais Amplo na Segurança DeFi

Este exploit faz parte de um mês desafiador para o DeFi, onde o setor perdeu aproximadamente $127 milhões devido a hacks, golpes e vulnerabilidades em novembro de 2025, de acordo com os dados da CertiK. Isso destaca os riscos contínuos nas implementações mais antigas de contratos inteligentes, mesmo para protocolos estabelecidos como Yearn, e a importância de descontinuar código legado.

A comunicação transparente da Yearn e a isolação do problema foram elogiadas pela comunidade, prevenindo um desastre de maior escala. O incidente serve como um lembrete para os usuários monitorarem as atualizações do protocolo e evitarem produtos experimentais com vulnerabilidades não corrigidas.

Em resumo, a exploração do Yearn yETH drenou $3 milhões em ativos, com o atacante a cunhar tokens ilimitados e a lavar fundos através do Tornado Cash. O Yearn confirmou que o problema está contido a um contrato mais antigo, sem impacto nos cofres principais, e está a investigar mais enquanto mantém o seu programa de recompensa por bugs.