Yearn Finance: Una falla en el contrato yETH permite a un hacker drenar millones

Siempre vuelven, más ingeniosos, más técnicos. Los hackers acaban de asestar un nuevo golpe en el mundo cripto. Esta vez, la víctima es Yearn Finance. Resultado: 9 millones de dólares desaparecieron. Detrás del exploit, un bug de rara complejidad en el contrato yETH. En la superficie, un simple swap. En profundidad, caos matemático. Y lo peor de todo, este no es un caso aislado.

Cuando la aritmética explota: un bug que vale millones

El 30 de noviembre, un usuario pudo crear 2,35 × 10³⁸ yETH gracias a una sutil falla en la función swap() del smart contract. Este contrato debía mantener una regla de balance entre tokens. Excepto que se omitió una división crítica en la fórmula. Resultado: la variable vb_prod se disparó. Como un velocímetro trabado al máximo, engañó al protocolo sobre su propia salud.

El exploit fue confirmado por PeckShield, que alertó en un tweet que casi 9 millones de dólares se habían perdido. Parte de los fondos —unos 3 millones en ETH— se enviaron a través de Tornado Cash, un famoso mixer cripto utilizado para ocultar rastros. El resto aún permanece en la dirección del hacker.

La gravedad del bug no es un simple descuido. Como explicó Ilia.eth en X:

La explotación de hoy del pool $yETH no fue un ataque de tipo flash loan sobre el precio, sino realmente un colapso estructural de la contabilidad interna del AMM. Aquí hay un análisis técnico que muestra cómo una simple división omitida llevó al drenaje completo del protocolo.

Esta falla recuerda dolorosamente el precedente de Balancer, donde una mala gestión del redondeo causó un caos similar. Misma causa, mismo efecto: creación monetaria descontrolada seguida de un retiro legítimo pero destructivo.

Contratos auxiliares para arrasar la arquitectura de Yearn Finance

No solo impresiona el bug. También la ingeniería del ataque. En una sola transacción, el hacker orquestó todo: despliegue de “contratos auxiliares”, minteo de tokens, conversión a ETH, transferencia de fondos y autodestrucción de los contratos para borrar rastros.

Según Blockscout, cada contrato auxiliar ejecutó una llamada dirigida a la función vulnerable, luego envió el ETH a una wallet principal antes de desaparecer. Una estrategia digna de una película de robos, donde el ladrón borra sus huellas digitales en el mismo segundo en que actúa.

La dirección clave identificada por varios analistas es: 0xa80d…c822, que actualmente aún retiene unos 6 millones en stETH, rETH y otros derivados de Ethereum.

En X, William Li ofrece más detalles:

El hacker en realidad no retiró todo el yETH que creó, solo vendió una parte en el pool yETH-ETH por 1.000 ETH (unos 3 millones de dólares), lo cual es mucho menos que la ganancia real que obtuvo (P2).

Más que un robo, es una desintegración controlada del protocolo yETH. Y detrás del ataque, un profundo conocimiento matemático, sumado a un talento de programación frío y preciso.

Cripto y confianza: cuando el código se convierte en el talón de Aquiles

Yearn Finance está lejos de ser un proyecto amateur. Sin embargo, la falla no fue detectada ni por usuarios ni por auditorías. Aquí es donde el asunto se vuelve preocupante para todo el mercado cripto. Porque este tipo de error —una multiplicación en vez de una división— podría existir en otros lugares, acechando en otros protocolos.

La estructura del contrato yETH es un híbrido entre Curve y Balancer. Excepto que, en vez de recalcular en cada transacción, almacena un estado intermedio (vb_prod) que se supone debe actualizarse tras cada swap. Una práctica peligrosa, según Ilia.eth:

Almacenar resultados de productos complejos (vb_prod) para actualizarlos incrementalmente es extremadamente riesgoso. Los errores se acumulan y el más mínimo bug lógico puede permanecer activo indefinidamente. Sería mejor recalcular los invariantes a partir de los balances actuales.

El hack reaviva el debate: ¿debe priorizarse el ahorro de gas o el rigor? Una cosa es segura: las consecuencias de una mala decisión ahora suman millones. En Yearn, es momento de remobilización: SEAL911, ChainSecurity y una investigación post-mortem ya están en primera línea.

5 datos clave sobre el exploit de Yearn Finance 

• 30 de noviembre de 2025: fecha del hackeo;
• 9 millones de dólares: pérdidas totales estimadas;
• 2,35 × 10³⁸ yETH: tokens creados artificialmente;
• Transacción única: todo el ataque ocurrió en un solo bloque;
• Contratos auxiliares: desplegados, usados y luego autodestruidos.

Los errores de cálculo en cripto no perdonan. Y con razón: no es otra auditoría la que habría evitado la masacre. Balancer, a pesar de 11 auditorías de seguridad, también fue vaciado por un bug casi gemelo. Un simple factor de multiplicación puede convertirse en un arma de destrucción masiva cuando las finanzas se vuelven programables. Los protocolos tienen poca memoria, pero las blockchains nunca olvidan.