Reason to trust
How Our News is Made
Strict editorial policy that focuses on accuracy, relevance, and impartiality
Ad discliamer
Morbi pretium leo et nisl aliquam mollis. Quisque arcu lorem, ultricies quis pellentesque nec, ullamcorper eu odio.
Yearn Finance informó que un producto yETH heredado fue víctima de un exploit que permitió a un atacante acuñar una gran cantidad de tokens falsos y cambiarlos por activos reales.
Según las alertas en cadena y las declaraciones del protocolo, el atacante creó un suministro casi infinito de yETH en una sola transacción, y luego usó esos tokens para extraer ETH y derivados de staking líquido de los fondos de liquidez.
El incidente se detectó por primera vez el 30 de noviembre de 2025, y el impacto total se ha reportado en aproximadamente $9 millones.
#PeckShieldAlert Yearn Finance @yearnfi sufrió un ataque que resultó en una pérdida total de ~ $9 millones.
El exploit involucró la acuñación de un número casi infinito de tokens yETH, agotando el grupo en una sola transacción.
~1K $ETH (con un valor de ~ $3 millones) fue enviado a #TornadoCash, mientras que el… pic.twitter.com/IXNygpwoWa
— PeckShieldAlert (@PeckShieldAlert) 1 de diciembre de 2025
Cómo funcionó el exploit
Según informes, el atacante aprovechó un fallo en la lógica de acuñación de yETH y produjo tokens del orden de 235 billones de una sola vez.
Esos tokens sin valor se cambiaron luego por activos reales de los fondos Balancer y Curve vinculados al producto, vaciando la liquidez en minutos. Los monitores de cadena e investigadores de seguridad mostraron la acuñación y los intercambios posteriores desarrollándose muy rápidamente en la cadena de bloques.
A las 21:11 UTC del 30 de noviembre, ocurrió un incidente que involucró el grupo de intercambio estable yETH que resultó en la acuñación de una gran cantidad de yETH. El contrato afectado es una versión personalizada del código de intercambio estable popular, no relacionado con otros productos de Yearn. Las bóvedas Yearn V2/V3 no están en riesgo.
— yearn (@yearnfi) 1 de diciembre de 2025
Qué activos fueron tomados
Los informes han revelado que se extrajeron aproximadamente $8 millones del grupo principal de intercambio estable yETH, mientras que se tomaron aproximadamente $0,9 millones de un grupo yETH-WETH.
Además, se enviaron aproximadamente 1,000 ETH, valorados en aproximadamente $3 millones en el momento del movimiento, a Tornado Cash en un intento de oscurecer el rastro. El atacante convirtió yETH falso en una combinación de ETH y tokens de staking líquido antes de intentar lavar los fondos.
### Impacto en los productos principales de Yearn
Según los funcionarios de Yearn y la cobertura de seguimiento, la infracción se limitó a una implementación anterior y heredada del producto yETH y no afectó a las bóvedas principales V2 y V3 de Yearn.
Los depósitos en el grupo afectado se aislaron mientras el equipo y expertos externos iniciaban una investigación. Se dice que este aislamiento ha evitado que se toque la mayor parte de los fondos de los usuarios en bóvedas activas.
Reacción del mercado y preocupaciones más amplias
Los mercados de criptomonedas experimentaron presión de venta a medida que se difundía la noticia, y los operadores sopesaron el riesgo que conlleva la combinación de tokens de staking líquido con un código de intercambio personalizado.
Yearn Finance dijo que está trabajando con equipos de seguridad externos para realizar un análisis post-mortem y parchear la vulnerabilidad. Según los informes, los equipos nombrados en la cobertura incluyen auditores externos e investigadores de blockchain que están rastreando los fondos robados y asesorando sobre las opciones de recuperación.
El aviso del protocolo advirtió a los usuarios sobre el producto heredado afectado e instó a la precaución mientras continúa la revisión.
Imagen destacada de Unsplash, gráfico de TradingView
