3 millones de dólares perdidos en una sola operación: el hackeo a Yearn Finance eleva las pérdidas del mercado cripto a 127 millones.

Yearn Finance sufrió un ataque grave contra el producto yETH, en el que el atacante logró retirar alrededor de mil ETH — casi 3 millones de dólares — aprovechando una vulnerabilidad en el funcionamiento del pool de stable-swap. El exploit permitió, en una sola acción, crear prácticamente una cantidad infinita de yETH, convertir en efectivo la liquidez rápidamente y borrar parcialmente las huellas a través de Tornado Cash. Antes del incidente, en el pool había alrededor de 11 millones de dólares, pero los depósitos principales de Yearn Finance — V2 y V3 — no resultaron afectados.

Como muestran los datos de la cadena de bloques, el ataque se construyó sobre una serie de nuevos contratos inteligentes, creados exclusivamente para su rápida ejecución y posterior autodestrucción. Este esquema ayudó al atacante a inflar la oferta de yETH, retirar activos y eliminar huellas críticas de las transacciones. Un representante de Yearn Finance confirmó el hackeo, subrayando que el daño se limitó únicamente al pool LST y que la infraestructura clave del servicio sigue segura. El equipo continúa investigando las circunstancias exactas del ataque.

El primero en informar sobre el incidente fue el usuario con seudónimo Togbe, que notó actividad sospechosa al rastrear grandes transacciones. Según él, el «supermint» de yETH se convirtió en la herramienta principal del atacante para vaciar el pool y le generó alrededor de mil ETH de beneficio, aunque una pequeña parte de los fondos se perdió en el camino. Los expertos consideran lo ocurrido como parte de una ola creciente de hackeos en DeFi: solo en noviembre el sector perdió más de 127 millones de dólares debido a ciberataques, estafas y explotaciones de vulnerabilidades, y los contratos inteligentes se colocaron firmemente en primer lugar entre los riesgos sistémicos, por delante del phishing y los ataques a billeteras.