- O pool yETH da Yearn Finance foi explorado por uma falha infinite-mint.
- O atacante drenou ativos reais, retirando quase 3 milhões de dólares em ETH.
- Cerca de 1.000 ETH foram canalizados pelo Tornado Cash em lotes.
Uma vulnerabilidade infinite-mint no contrato yETH da Yearn Finance desencadeou uma fuga de liquidez de vários milhões de dólares no domingo, forçando o protocolo a isolar o pool legado afetado. Um atacante explorou a falha para cunhar 235 trilhões de tokens sintéticos, trocando imediatamente o fornecimento inútil por ativos reais antes de direcionar fundos para o mixer Tornado Cash.
A mecânica da ‘Infinite Mint’
A violação teve origem no contrato yETH, um índice de staking líquido projetado para agrupar ativos como stETH e rETH. O atacante identificou uma falha lógica dormente que permitia a cunhagem não colateralizada do yETH.
O primeiro e mais imediato alvo era um pool de liquidez do Balancer que suportasse yETH. Uma vez que a oferta inflacionada de tokens entrou no pool, permitiu ao explorador remover ETH real e derivativos de staking líquido em larga escala, retirando valor de um pool que anteriormente detinha quase 11 milhões de dólares. O número inicial mostra que cerca de 3 milhões de dólares em ETH foram roubados quase instantaneamente.
O Papel da yETH e a Fonte da Fraqueza
O produto yETH funciona como um índice de staking líquido, projetado para reunir tokens populares de staking de ETH, como stETH e rETH, em um ativo unificado. No entanto, o incidente recente mostra que a lógica de contratos inteligentes mais antigos ainda pode conter pontos fracos adormecidos.
Analistas que acompanhavam o exploit apontaram que esse problema veio de uma falha de cunhagem presente em uma versão anterior da implementação do yETH. Com essa brecha aberta, o atacante poderia criar uma quantidade enorme de yETH sem qualquer colateral.
Quando o pool perdeu seu suporte, o atacante começou a quebrar o ETH roubado em partes menores. Cerca de 1.000 ETH, equivalente a aproximadamente 3 milhões de dólares, foram transferidos para a Tornado Cash em lotes progressivos.
O misturador de criptomoedas obscurece os caminhos das transações, o que dificulta o acompanhamento da trilha para investigadores on-chain. Registros de blockchain confirmam que esse processo começou momentos após o exploit e continuou em intervalos constantes.
Outros ativos tomados durante o ataque ainda permanecem em carteiras associadas ao explorador, com avaliações iniciais mostrando vários milhões de dólares de valor ainda não movimentados.
A Yearn Finance responde e avalia danos
A Yearn Finance anunciou que o exploit está inteiramente dentro do pool yETH e não toca seus Cofres V2 ou V3. Esses cofres controlam significativamente mais capital, o que impediu que o incidente se tornasse um evento muito mais grave. O protocolo afirma que seus cofres centrais permanecem totalmente protegidos e não afetados pela falha.
A equipe iniciou uma revisão técnica mais aprofundada, apoiada por grupos externos de segurança, para entender a extensão total da exploração. Avaliações iniciais indicam que a perda pode chegar a cerca de 9 milhões de dólares quando todas as piscinas afetadas forem contadas, embora o dreno confirmado imediatamente esteja mais próximo de 3 milhões de dólares.
Relacionado: Upbit confirma ataque de 37 milhões de dólares: a exchange diz que cobrirá cada dólar perdido
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
