Análise completa do roubo de 9 milhões de dólares à Yearn: como o bug em três fases permitiu a “cunhagem infinita”

[Bitpush] A questão do yETH da Yearn Finance que foi atacado na semana passada finalmente teve o relatório de análise completo divulgado oficialmente.

Resumindo, eles tinham um pool antigo de stableswap com um bug de valores em três fases — o atacante aproveitou-se disso para realizar uma “cunhagem infinita de tokens LP”, retirando diretamente cerca de 9 milhões de dólares do pool. O incidente ocorreu a 30 de novembro, mais precisamente no bloco 23914086.

Mas há boas notícias. A Yearn, em conjunto com as equipas da Plume e da Dinero, conseguiu recuperar 857,49 pxETH, o que representa cerca de um quarto dos ativos roubados. Este montante será devolvido proporcionalmente aos utilizadores que tinham depósitos em yETH.

A nível técnico, a técnica do atacante foi bastante sofisticada — através de uma série de operações complexas, forçou o interpretador interno do pool a entrar em estado de divergência, levando a um underflow aritmético. Os alvos do ataque foram um pool personalizado de stableswap que agregava vários LSTs, além de um pool Curve yETH/WETH. A equipa fez questão de sublinhar: os cofres v2 e v3 e os restantes produtos não foram afetados.

A solução já está a caminho: adicionar verificações explícitas de domínio ao interpretador, substituir toda a aritmética não segura por versões verificadas e, como medida extra, desativar diretamente a lógica de bootstrap após o pool ser lançado. Desta vez, foi uma lição aprendida com dinheiro real.