O protocolo de finanças descentralizadas (DeFi) Yearn Finance confirmou, neste domingo (30), uma violação de segurança que resultou em prejuízo aproximado de US$ 9 milhões. O ataque explorou uma falha em um contrato legado ligado ao yETH, token usado dentro do ecossistema da Yearn.
Segundo as primeiras informações, os invasores conseguiram criar tokens yETH de forma ilimitada, sem fornecer garantias reais, o que permitiu drenar a liquidez de pools associados ao ativo.
Como o ataque aconteceu
A empresa de segurança PeckShield foi a primeira a identificar a movimentação suspeita. Em seguida, a Yearn Finance confirmou que o incidente atingiu apenas pools de liquidez externos aos cofres principais, que continuam protegidos.
De acordo com a análise inicial, os hackers exploraram uma vulnerabilidade crítica no contrato personalizado do yETH, permitindo a criação infinita de tokens. A partir daí, eles drenaram cerca de US$ 8 milhões do pool principal e outros US$ 900 mil em tokens yETH.
Além disso, parte do ataque também afetou pools da Curve, plataforma que já havia sido alvo de ataques semelhantes.
Destino dos fundos roubados
Depois de emitir os tokens falsos, os invasores iniciaram a retirada de liquidez. Em seguida, eles lavaram mais de US$ 3 milhões em ETH usando o mixer Tornado Cash.
O restante — cerca de US$ 6 milhões em diversos ativos ligados a derivativos de staking de Ethereum — permanece em endereços rastreados pela comunidade on-chain.
Vulnerabilidade lembra ataque recente ao Balancer
A violação no Yearn ocorre poucos dias após o ataque à DEX Balancer, que perdeu US$ 128 milhões em 28 de novembro. Na ocasião, o problema estava ligado a erros de precisão em cálculos de ponto fixo usados nos Composable Stable Pools (CSPs).
Especialistas acreditam que o ataque contra o Yearn seguiu uma lógica semelhante: pequenas discrepâncias de preço geradas durante trocas sucessivas, especialmente quando executadas em lote.
A empresa de segurança SlowMist reforçou essa hipótese ao apontar que a falha pode ter permitido inconsistências recorrentes, abrindo caminho para manipulação dos valores internos dos pools.
Resposta da Yearn e próximos passos
Após confirmar o incidente, o Yearn Finance anunciou parceria com a Security Alliance (SEAL) para investigar a origem exata da falha. Segundo o protocolo, o relatório completo será divulgado ao público assim que as análises forem concluídas.
Os usuários afetados foram orientados a abrir chamados no Discord oficial do projeto para receber instruções específicas.
Contexto maior: onda de ataques em DeFi
O incidente acontece em um momento de aumento nas explorações que atingem projetos de finanças descentralizadas. Recentemente, a exchange sul-coreana Upbit sofreu uma violação que resultou em US$ 50 milhões em perdas relacionadas ao Ethereum.
Esse conjunto de ataques reacende o debate sobre risco estrutural em contratos inteligentes, principalmente em protocolos que acumulam contratos legados ou integrações com terceiros.
