¡yETH fue objeto de un ataque infinito de acuñación! 3 millones de dólares en ETH fluyeron hacia Tornado Cash para blanqueo de capital.

El protocolo de Yield Farming Yearn Finance fue atacado, lo que resultó en el robo de los tokens de staking liquido en su producto Yearn Ether (yETH). El fondo de yETH fue vaciado por un programa de vulnerabilidad cuidadosamente diseñado, que acuñó casi una cantidad infinita de tokens de yETH a través de una sola transacción. Esta transacción resultó en el envío de 1000 ETH (aproximadamente 3 millones de dólares) al protocolo de mezcla Tornado Cash.

Métodos de ataque precisos para vulnerabilidades de acuñación infinita

(fuente: Etherscan)

Los datos de blockchain muestran que el fondo de yETH fue claramente vaciado a través de un programa de exploit cuidadosamente diseñado, que acuñó una cantidad casi infinita de tokens yETH en una sola transacción, vaciando así el fondo. Yearn Ether (yETH) agrega los populares tokens de liquidez de staking (LST) en un solo token, permitiendo a los usuarios obtener rendimientos de múltiples LST a través de un solo activo. Sin embargo, la complejidad de este diseño también proporciona una oportunidad para los atacantes.

Los atacantes parecen poder acuñar yETH indefinidamente a través de una vulnerabilidad. Este tipo de ataque de “acuñación infinita” es uno de los tipos de vulnerabilidades más mortales en el ámbito de DeFi, ya que permite a los atacantes eludir los requisitos normales de colateral y crear tokens de la nada. En condiciones normales, los usuarios que desean obtener yETH deben depositar tokens de stake de liquidez equivalentes como colateral. Sin embargo, los atacantes descubrieron una vulnerabilidad lógica en el código del contrato inteligente, lo que les permitió acuñar grandes cantidades de yETH sin proporcionar el colateral correspondiente.

Los datos de la cadena de bloques muestran que el ataque parece involucrar múltiples contratos inteligentes recién desplegados, algunos de los cuales se destruyen automáticamente después de completar la transacción. Esta táctica es extremadamente astuta y demuestra que los atacantes poseen una alta capacidad técnica y una profunda comprensión del funcionamiento de los contratos inteligentes. Al desplegar contratos inteligentes temporales para ejecutar el ataque y luego destruir inmediatamente esos contratos, los atacantes intentan ocultar su ruta de ataque, aumentando la dificultad del análisis posterior y la recuperación de fondos.

Proceso de tres etapas del ataque de acuñando infinito

Fase 1: Despliegue del contrato de ataque - El atacante despliega múltiples contratos inteligentes diseñados cuidadosamente, los cuales contienen código que aprovecha la vulnerabilidad en la lógica de acuñando de yETH.

Segunda fase: Ejecutar acuñando infinito - A través de una sola transacción, invocar estos contratos, eludiendo el mecanismo de verificación de garantías, acuñando una gran cantidad de tokens yETH

Tercera Fase: Pruebas de Destrucción - Después de completar el ataque, se destruye inmediatamente el contrato inteligente desplegado temporalmente, intentando ocultar las técnicas y la lógica del ataque.

El ataque de hackers fue descubierto por el usuario X Togbe. Togbe le dijo a The Block que notó este ataque evidente mientras monitoreaba grandes transferencias. “Los datos de transferencia neta muestran que la acuñación de yETH permitió a los atacantes drenar el fondo, obteniendo una ganancia de aproximadamente 1000 ETH,” escribió Togbe en un mensaje. “Aunque hubo otros ETH que fueron sacrificados, aún así lograron obtener ganancias.”

El descubrimiento de Togbe destaca la naturaleza de doble filo de la transparencia de blockchain. Por un lado, todas las transacciones son públicas y verificables, lo que permite la supervisión de la comunidad. Por otro lado, los atacantes también pueden aprovechar esta transparencia para investigar las vulnerabilidades del protocolo. La expresión “otros ETH fueron sacrificados” sugiere que los atacantes pueden haber realizado múltiples pruebas en el proceso de perfeccionar sus métodos de ataque, perdiendo parte de los fondos en las pruebas, pero finalmente logrando extraer una gran cantidad de activos.

La Dificultad de Rastrear las Rutas de Lavado de Tornado Cash

Esta transacción resultó en el envío de 1000 ETH (con un valor actual de aproximadamente 3 millones de dólares) al protocolo de mezcla Tornado Cash. Tornado Cash es el servicio de mezcla más conocido en Ethereum, que rompe la trazabilidad de las transacciones en cadena al mezclar los fondos de múltiples usuarios. Una vez que los fondos ingresan a Tornado Cash, se vuelve extremadamente difícil rastrear su destino final, que es la razón por la cual los hackers y los lavadores de dinero prefieren usar este servicio.

El mecanismo de funcionamiento de Tornado Cash se basa en la tecnología de pruebas de conocimiento cero. Los usuarios depositan ETH en el contrato inteligente de Tornado Cash y reciben un certificado criptográfico. Más tarde, los usuarios pueden utilizar este certificado para retirar la misma cantidad de ETH desde cualquier dirección, sin que la dirección de depósito se pueda asociar directamente con la dirección de retiro en la cadena de bloques. Un atacante podría depositar 1000 ETH en partes en Tornado Cash, que podrían dispersarse en decenas o incluso cientos de direcciones de retiro diferentes, lo que dificulta el rastreo por parte de las autoridades y las empresas de análisis.

Es importante señalar que Tornado Cash fue sancionado en agosto de 2022 por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU., y usar el servicio en EE. UU. se considera ilegal. Sin embargo, dado que Tornado Cash está desplegado como un contrato inteligente en Ethereum y su código es descentralizado e inmutable, las sanciones no han logrado cerrar realmente el servicio. Los atacantes claramente no se preocupan por el riesgo legal, o creen que los beneficios de anonimato que ofrece el mezclador superan las posibles consecuencias legales.

Las empresas de análisis de blockchain pueden intentar rastrear fondos a través de los siguientes métodos: monitorear el flujo de ETH extraído de Tornado Cash, buscando posibles asociaciones con intercambios centralizados u otras entidades identificables; analizar los patrones de transacción y las marcas de tiempo de los atacantes, buscando similitudes con otros ataques conocidos; rastrear el origen del ETH utilizado para pagar las tarifas de gas, ya que los atacantes deben usar ETH “limpio” para pagar las tarifas de transacción de mezclado y retiro. Sin embargo, los atacantes experimentados suelen adoptar estrategias de mezcla en múltiples capas y retrasos temporales, lo que reduce significativamente la tasa de éxito de estos métodos de rastreo.

Registro de seguridad y lecciones históricas de Yearn Finance

No está claro el monto total de las pérdidas, pero el valor del fondo yETH antes del ataque era de aproximadamente 11 millones de dólares. Yearn escribió en X: “Estamos investigando un incidente relacionado con el fondo de stablecoins yETH LST. Los Yearn Vaults (incluyendo V2 y V3) no se ven afectados.” Esta declaración intenta tranquilizar a los usuarios, enfatizando que la seguridad del producto central Yearn Vaults no ha sido comprometida, y las pérdidas se limitan a yETH, que es un producto relativamente nuevo.

Sin embargo, esta no es la primera vez que Yearn Finance se enfrenta a un incidente de seguridad. En 2021, Yearn Finance sufrió un ataque cibernético en el que su bóveda de yDAI perdió 11 millones de dólares, y los hackers robaron 2.8 millones de dólares. Ese ataque aprovechó la técnica de ataque de préstamo relámpago, obteniendo ganancias al manipular el oráculo de precios en una sola transacción. En diciembre de 2023, el protocolo indicó que un script defectuoso provocó una pérdida del 63% en una de sus posiciones de bóveda, pero los fondos de los usuarios no se vieron afectados.

Cronología de eventos de seguridad de Yearn Finance

Año 2021: el tesoro de yDAI sufrió un ataque de préstamo relámpago, con pérdidas de 11 millones de dólares, y los hackers obtuvieron ganancias de 2.8 millones de dólares.

Diciembre de 2023: Un script de fallo causó una pérdida del 63% en la parte de la tesorería (los fondos de los usuarios no se vieron afectados)

2025: yETH sufre un ataque de acuñación infinita, con aproximadamente 3 millones de dólares fluyendo hacia Tornado Cash

Estos eventos de seguridad repetidos han suscitado dudas sobre la auditoría de código y los procesos de seguridad de Yearn Finance. Aunque los riesgos de ataques que enfrentan los protocolos DeFi son intrínsecamente altos, los tres importantes incidentes de seguridad indican que puede haber problemas sistémicos de gestión de la seguridad. Andre Cronje, fundador de Yearn, estableció el proyecto en 2020 y se retiró dos años después. La salida de Cronje podría haber afectado el liderazgo técnico y la cultura de seguridad del proyecto.

Para los usuarios de DeFi, este ataque destaca nuevamente la realidad del riesgo de los contratos inteligentes. Incluso protocolos maduros como Yearn, que han estado operando durante años, pueden tener vulnerabilidades no descubiertas. Al participar en protocolos DeFi, los usuarios deben evaluar el historial de auditoría de seguridad del protocolo, los eventos de seguridad pasados, la complejidad del código y la capacidad de respuesta del equipo. Diversificar la inversión en múltiples protocolos en lugar de concentrar todos los fondos en una sola plataforma es una estrategia importante para reducir el riesgo de los contratos inteligentes.