3 millones de dólares en ETH enviados a Tornado Cash tras aparente ataque a Yearn's yETH

El protocolo de yield-farming Yearn Finance parece haber sido objeto de un ataque que drenó millones de dólares en tokens de staking líquido (LSTs) de su producto Yearn Ether (yETH), el cual agrupa LSTs populares en un solo token. 

Los datos en blockchain muestran que el pool de yETH fue aparentemente vaciado a través de un exploit cuidadosamente diseñado que permitió acuñar una cantidad casi infinita de tokens yETH, drenando el pool en una sola transacción. Como resultado de la transacción, 1.000 ETH (aproximadamente 3 millones de dólares al precio actual) fueron enviados al protocolo de mezcla Tornado Cash.

El ataque aparentemente involucró varios contratos inteligentes recién desplegados, algunos de los cuales se autodestruyeron tras la transacción, según muestran los datos en blockchain. La magnitud total de la pérdida financiera no estaba clara inicialmente, mientras que el pool de yETH tenía un valor de aproximadamente 11 millones de dólares antes del ataque. 

El hackeo fue detectado primero por el usuario de X Togbe, quien le dijo a The Block que notó el aparente ataque mientras monitoreaba grandes transferencias. "Las transferencias netas sugieren que el super mint de yETH permitió al atacante drenar el pool para obtener una ganancia de 1k ETH", dijo Togbe en un mensaje. "De alguna manera, se sacrificaron otros ETH en esto, pero igual obtuvieron ganancias."

"Estamos investigando un incidente que involucra el pool stableswap de LST de yETH", escribió Yearn en X. "Las Yearn Vaults (tanto V2 como V3) no se ven afectadas."

En un nuevo anuncio publicado a las 23:10 del domingo, Yearn confirmó que ha perdido 9 millones de dólares por el ataque: 8 millones del pool stableswap y 0,9 millones del pool stableswap yETH-WETH en Curve. Yearn indicó que se está llevando a cabo una investigación post-mortem completa, en colaboración con SEAL 911 y ChainSecurity.

"El análisis inicial indica que este hackeo tiene un nivel de complejidad similar al reciente hackeo de Balancer, así que les pedimos paciencia mientras realizamos el análisis post-mortem", escribió Yearn en la publicación. "No hay ningún otro producto de Yearn que utilice un código similar al que fue afectado."

Yearn Finance sufrió un exploit en 2021 que afectó su vault de yDAI, el cual perdió 11 millones de dólares en valor, con el hacker llevándose 2,8 millones. En diciembre de 2023, el protocolo informó que un script defectuoso eliminó el 63% de una de sus posiciones de tesorería, pero ningún fondo de usuario se vio afectado. Andre Cronje, quien fundó Yearn en 2020, dejó el proyecto dos años después. 

The Block no pudo contactar de inmediato a Yearn para obtener comentarios. Esta es una noticia en desarrollo. 

Historia actualizada para agregar el anuncio de seguimiento de Yearn