Yearn Finance vuelve a ser atacado, el fondo yETH ha perdido 3 millones de dólares en ETH que ya se han transferido a Tornado Cash

El conocido protocolo de rendimiento DeFi Yearn Finance sufrió un ataque en su pool de Token de staking liquido yETH, donde el atacante vació el fondo mediante la emisión infinita de yETH, obteniendo aproximadamente 3 millones de dólares en ETH que fueron transferidos al mezclador Tornado Cash. Este incidente resultó en pérdidas significativas para el pool de yETH, que antes del ataque tenía un valor de aproximadamente 11 millones de dólares. Yearn ha confirmado que está investigando el asunto y ha enfatizado que los Yearn Vaults no se vieron afectados, siendo esta la segunda crisis de seguridad de Yearn tras el incidente de la vulnerabilidad de yDAI en 2021.

Análisis completo del incidente de ataque

Los datos de blockchain muestran que el 14 de diciembre, el pool de tokens de staking liquido yETH de Yearn Finance fue objeto de un ataque meticulosamente planeado. El atacante logró una emisión casi ilimitada de yETH aprovechando una vulnerabilidad del contrato, y vació todo el pool de fondos en una sola transacción. yETH, como token índice que agrupa varios tokens de staking liquido populares, fue diseñado para ofrecer a los usuarios una solución integral para las ganancias de staking de Ethereum, y esta vulnerabilidad amenaza directamente el mecanismo central de este producto.

Durante el ataque, el atacante desplegó varios contratos inteligentes completamente nuevos para ejecutar el proceso de ataque, y algunos contratos se autodestruyeron inmediatamente después de completar la transacción. Esta técnica claramente tiene como objetivo ocultar las huellas del ataque y aumentar la dificultad de rastreo. Finalmente, el atacante logró transferir 1000 ETH (equivalente a aproximadamente 3 millones de dólares según el precio de ese momento) al protocolo de mezcla de monedas Tornado Cash, lo que cortó aún más la trazabilidad del flujo de fondos.

Este ataque fue descubierto inicialmente por el usuario Togbe de la plataforma X, quien notó actividades anómalas al monitorear grandes transferencias. Togbe reveló a los medios: “Los datos de transferencia neta indican que la función de acuñación super de yETH permitió a los atacantes vaciar el fondo, obteniendo una ganancia de aproximadamente 1000 monedas ETH. Aunque se sacrificaron algunas ETH durante el ataque, los atacantes aún lograron obtener ganancias.” Este descubrimiento alertó oportunamente a la comunidad sobre este evento de seguridad.

Ataques a nodos críticos de tiempo

• Explotación de vulnerabilidades: el atacante aumenta indefinidamente la emisión de yETH a través de la función de acuñación super autorizada.
• Extracción de fondos: transacción única que agota el fondo yETH, valorado en aproximadamente 11 millones de dólares.
• Transferencia de fondos: 1000 monedas ETH (aproximadamente 3 millones de dólares) transferidos a Tornado Cash
• Ocultación de huellas: algunos contratos de ataque se autodestruyen, aumentando la dificultad de la investigación.

Análisis profundo del mecanismo de vulnerabilidades técnicas

Desde un punto de vista técnico, la vulnerabilidad central de este ataque radica en el defecto de control de permisos de acuñación del contrato yETH. El atacante parece haber encontrado una forma de eludir las restricciones normales de acuñación, activando la llamada función de “súper acuñación”, que debería haber estado habilitada bajo condiciones estrictas, pero que fue accidentalmente accesible para partes no autorizadas. El índice de tokens de staking liquido en sí implica un diseño complejo de economía de tokens, y cualquier vulnerabilidad de permisos podría resultar en consecuencias catastróficas.

Los nuevos contratos desplegados por los atacantes, junto con el modo de autodestrucción, muestran características operativas típicas de hackers profesionales. Al usar contratos desechables, los atacantes no solo ocultan eficazmente la lógica del ataque, sino que también aumentan significativamente la dificultad de la recolección de pruebas posterior. Los expertos en seguridad de blockchain señalan que esta técnica requiere que los atacantes tengan un entendimiento profundo de la arquitectura de contratos de Yearn, lo que podría ser resultado de una filtración de código interno o de una investigación prolongada.

Es importante señalar que yETH, como un agregador de varios tokens de staking liquido, su estabilidad de precios depende de la correcta anclaje de los activos subyacentes. Cuando un atacante emite yETH de forma indefinida, los activos en el pool se intercambian en gran medida por otros tokens de alta liquidez, que finalmente se convierten en ETH y se retiran. Esta ruta de ataque expone el riesgo de punto único de falla en el diseño de los tokens índice, es decir, si la función central de acuñación se ve comprometida, todo el modelo económico se derrumbará rápidamente.

Historia de seguridad y respuesta a emergencias de Yearn

Yearn Finance publicó rápidamente un comunicado oficial a través de la plataforma X después del incidente: “Estamos investigando el evento relacionado con el pool de intercambio estable de yETH LST, los Yearn Vaults (incluidas las versiones V2 y V3) no se han visto afectados.” Esta respuesta rápida ayuda a estabilizar el sentimiento de la comunidad, pero no puede recuperar inmediatamente las pérdidas de fondos. El equipo actualmente está revisando exhaustivamente el código del contrato, evaluando la causa raíz de la vulnerabilidad.

Al revisar la historia de seguridad de Yearn, no es la primera vez que este protocolo enfrenta una vulnerabilidad significativa. En 2021, el tesoro yDAI de Yearn fue atacado, lo que resultó en una pérdida de valor de 11 millones de dólares, y el atacante finalmente obtuvo una ganancia de 2.8 millones de dólares. Y en diciembre de 2023, Yearn sufrió una pérdida del 63% en una posición del tesoro debido a un error de script, afortunadamente, en ese momento no se vieron afectados los fondos de los usuarios. Estos eventos de seguridad continuos han suscitado dudas sobre la calidad del código de Yearn.

Lo que merece más atención es que el fundador de Yearn, Andre Cronje, ha dejado el equipo dos años después del lanzamiento del proyecto, y su ausencia se ha convertido en el centro de discusión de la comunidad sobre si afectará la hoja de ruta de desarrollo seguro del protocolo. A pesar de que el equipo de desarrollo posterior de Yearn ha estado manteniendo activamente el protocolo, la salida del fundador sin duda ha tenido un profundo impacto en la dirección del desarrollo técnico del proyecto. Actualmente, el equipo de Yearn no ha publicado un plan de compensación específico ni un cronograma de corrección de vulnerabilidades.

Finanzas descentralizadas seguridad ecológica y recomendaciones de protección del usuario

El reciente ataque a yETH resalta nuevamente los desafíos de seguridad que enfrenta el sector DeFi. Según las estadísticas de agencias de seguridad blockchain, las pérdidas en el sector DeFi debido a vulnerabilidades y ataques han superado los 400 millones de dólares en la primera mitad de 2024, siendo las fallas en la lógica de contratos y el control de permisos inadecuado los principales vectores de ataque. Los derivados de staking liquido, como una nueva categoría, presentan estructuras de productos complejas que son más susceptibles de convertirse en objetivos de hackers.

Para los usuarios comunes de Finanzas descentralizadas, este evento proporciona importantes lecciones sobre el control de riesgos. Al participar en productos similares a Token de índice o agregadores, se debe entender completamente la situación de auditoría de seguridad del proyecto, prestando especial atención a la configuración de permisos de las funciones de acuñación y redención. Al mismo tiempo, la inversión diversificada sigue siendo una estrategia efectiva para reducir el riesgo de un protocolo único, evitando la exposición excesiva a un protocolo o producto específico.

Desde una perspectiva de la industria, este ataque podría acelerar el desarrollo de productos de seguros en Finanzas descentralizadas. Protocolos de seguros como Nexus Mutual ya han comenzado a ofrecer cobertura para varios productos de DeFi, mientras que las soluciones de custodia a nivel institucional también están explorando servicios de seguros para vulnerabilidades en contratos inteligentes. A medida que el marco regulatorio se vuelve más claro, se espera que los estándares de seguridad de los proyectos de DeFi pasen de auditorías voluntarias a certificaciones obligatorias, proporcionando una protección más completa a los usuarios.

Finanzas descentralizadas industria alerta constante

El incidente de ataque al pool yETH de Yearn Finance no solo expone la vulnerabilidad de los complejos productos DeFi en términos de seguridad del código, sino que también provoca una profunda reflexión sobre la sostenibilidad de los derivados de staking liquido. Una vez que Ethereum complete su transición a la prueba de participación, el sector de staking liquido se convierte en un campo de pruebas donde coexisten la innovación y el riesgo, y esta pérdida de 3 millones de dólares recuerda nuevamente a la industria que, al buscar optimizar los rendimientos, no se debe pasar por alto la infraestructura de seguridad básica.

A medida que la investigación continúa, el equipo de Yearn enfrenta no solo el desafío de reparar problemas técnicos, sino también la tarea a largo plazo de reconstruir la confianza de la comunidad. Para todo el ecosistema de Finanzas descentralizadas, este evento podría convertirse en una importante oportunidad para impulsar la estandarización de los procesos de auditoría de seguridad y la mejora de los programas de recompensas por vulnerabilidades. Solo a través de un esfuerzo colectivo para elevar los estándares de seguridad se podrá construir una infraestructura financiera descentralizada más resiliente.