O protocolo de yield-farming Yearn Finance confirmou uma exploração no seu produto yETH em 30 de novembro de 2025, onde um atacante cunhou uma oferta ilimitada de tokens yETH e drenou aproximadamente $3 milhões em ativos de pools de liquidez conectados. Os fundos roubados, avaliados em cerca de 1.000 ETH, foram posteriormente lavados através do misturador de privacidade Tornado Cash, de acordo com a análise na cadeia.
Detalhes do Incidente
O ataque visou uma implementação mais antiga do pool de stableswap yETH no Balancer, permitindo ao explorador gerar um número quase infinito de tokens yETH em uma única transação. Isso permitiu ao atacante retirar ativos reais, incluindo ETH e derivados de staking líquidos populares, deixando um buraco de aproximadamente $2.8 milhões no pool. A Yearn Finance relatou o incidente no X, afirmando: “Estamos investigando um incidente envolvendo o pool de stableswap yETH LST. Os Vaults Yearn ( tanto V2 quanto V3) não estão afetados.”
Os exploradores de blockchain mostram que a exploração envolvia contratos inteligentes recém-implantados que se autodestruíram após a execução, obscurecendo a trilha. O atacante então fragmentou os 1.000 ETH em lotes menores e os roteou através do Tornado Cash, um protocolo sancionado conhecido por ofuscar os históricos de transações.
Resposta e Âmbito da Yearn
A Yearn enfatizou que a vulnerabilidade estava isolada a um contrato experimental yETH e não afetou os seus Vaults V2 ou V3, que gerem mais de $500 milhões em ativos. O protocolo mantém um programa de recompensas por bugs ativo, com recompensas de até $200,000 por descobertas críticas, embora nenhum caminho de recuperação imediato tenha sido anunciado. Um relatório detalhado está a caminho à medida que a equipe continua a sua investigação.
As firmas de segurança que monitorizam o evento, incluindo auditores que revisam os produtos legado da Yearn, atribuíram a violação a uma fraqueza de cunhar de longa data na lógica do token yETH, em vez de um defeito na arquitetura atual do cofre.
Contexto Mais Amplo na Segurança DeFi
Este exploit faz parte de um mês desafiador para o DeFi, onde o setor perdeu aproximadamente $127 milhões devido a hacks, golpes e vulnerabilidades em novembro de 2025, de acordo com os dados da CertiK. Isso destaca os riscos contínuos nas implementações mais antigas de contratos inteligentes, mesmo para protocolos estabelecidos como Yearn, e a importância de descontinuar código legado.
A comunicação transparente da Yearn e a isolação do problema foram elogiadas pela comunidade, prevenindo um desastre de maior escala. O incidente serve como um lembrete para os usuários monitorarem as atualizações do protocolo e evitarem produtos experimentais com vulnerabilidades não corrigidas.
Em resumo, a exploração do Yearn yETH drenou $3 milhões em ativos, com o atacante a cunhar tokens ilimitados e a lavar fundos através do Tornado Cash. O Yearn confirmou que o problema está contido a um contrato mais antigo, sem impacto nos cofres principais, e está a investigar mais enquanto mantém o seu programa de recompensa por bugs.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Um detentor inicial de ETH de 2016 que estava inativo há um ano depositou 15.000 ETH numa determinada CEX, com um custo de posição de aproximadamente 11,61 USD.
Gate News notícia, 23 de março, de acordo com a monitorização do analista on-chain Ai 姨, um detentor inicial de ETH de 2016 que estava adormecido há um ano (endereço 0xa2F...F85A) depositou 15.000 ETH numa determinada CEX, no valor de 30,97 milhões de dólares. Este endereço começou a acumular ETH em 2016, com um preço de custo de 11,61 dólares. Se for vendido desta vez, obterá um lucro de 30,79 milhões de dólares, com uma taxa de retorno de 17680%.
GateNews8m atrás
ETH sobe 0,91% em 15 minutos: liquidez on-chain reforçada e cobertura de posições curtas dominam o mercado
2026-03-23 02:15 a 02:30(UTC)durante este período, o preço do ETH subiu rapidamente na faixa de 2047.53 a 2070.28 USDT, com um rendimento de 15 minutos de +0.91% e amplitude de 1.11%. Nesta janela temporal, a volatilidade do mercado intensificou-se, o interesse aumentou, e os volumes de negociação de mercado à vista e derivados expandiram-se sincronamente, com confronto aparente entre múltiplos e vazios de curto prazo.
A principal força motriz desta anomalia foi o evento recente de cunhagem de stablecoins de grande volume em cadeia (USDC/USDT) que impulsionou a liquidez, em particular com um influxo de fundos de 1.6 mil milhões de dólares em cadeia em torno de 16 de março, para as moedas principais
GateNews48m atrás
Baleia misteriosa saca 4,35 milhões do Aave e compra ETH, mantendo 120 mil moedas
Um mistério whale retirou recentemente $4,35 milhões em USDT de Aave, convertendo inteiramente para 2,103 ETH, aumentando sua posição para 122,392 ETH, com um valor de mercado de aproximadamente $251,3 milhões. Este whale continua a aumentar sua posição em ETH através de estratégias de alavancagem em DeFi, demonstrando uma atitude otimista em relação ao mercado e emitindo sinais de mercado altistas de longo prazo.
MarketWhisper58m atrás
Uma baleia transferiu 11.950 ETH extraídos do pico há 7 meses para uma carteira nova, com perdas não realizadas de 26,77 milhões de dólares
Em 23 de março, a monitorização do Lookonchain revelou que uma baleia com o endereço 0x2607 retirou 11.950 ETH há sete meses, a um preço médio de 4.295 dólares, avaliado em aproximadamente 51,32 milhões de dólares. Atualmente, esse lote de ETH vale cerca de 24,55 milhões de dólares, com uma perda não realizada de aproximadamente 26,77 milhões de dólares, representando uma queda de cerca de 52%. Essa baleia transferiu essa parte de ETH para uma nova carteira e ainda não a vendeu.
GateNews1h atrás
CEO da Pundi X: USR sofreu ataque com perda de 25 milhões de dólares em ETH, parte dos fundos pode ter sido retirada antecipadamente
O CEO da Pundi X, Zac Cheah, revelou que a stablecoin USR da Resolv sofreu um incidente de segurança, no qual hackers exploram uma vulnerabilidade para cunhar 80 milhões de tokens, obtendo 25 milhões de dólares em Ether. Este incidente expôs as deficiências em garantias e controlo de risco das stablecoins algorítmicas, resultando numa redução da confiança do mercado no projeto, lembrando aos investidores que foquem nos fluxos de fundos e situação de auditoria.
GateNews1h atrás
Machi Big Brother com grande perda de $1,42 milhões numa única semana, perda acumulada de $29 milhões e ainda adiciona posição de 25x de ETH em long sem sair da posição
O artista taiwanês Huang Lischeng (Irmão Machi) realizou operações de ETH na plataforma Hyperliquid, com perdas semanais superiores a $1,42 milhões, perdas históricas acumuladas atingindo $28,66 milhões e taxa de vitória de 0%. Apesar de sofrer múltiplas liquidações, ele continua aumentando suas posições, demonstrando um padrão operacional de não desistir facilmente.
動區BlockTempo1h atrás
