Yearn Finance relatou que um produto legado yETH foi atingido por uma exploração que permitiu a um invasor cunhar uma enorme quantidade de tokens falsos e trocá-los por ativos reais.
De acordo com alertas na rede e declarações de protocolo, o invasor criou um suprimento quase infinito de yETH em uma única transação e, em seguida, usou esses tokens para extrair ETH e derivativos de liquidez dos pools de liquidez.
O incidente foi sinalizado pela primeira vez em 30 de novembro de 2025, e o impacto total foi relatado em cerca de US$ 9 milhões.
#PeckShieldAlert Anseio por finanças @yearnfi sofreu um ataque resultando em uma perda total de aproximadamente US$ 9 milhões.
A exploração envolveu a criação de um número quase infinito de tokens yETH, esgotando o pool em uma única transação.
~1K $ETH (no valor de aproximadamente US$ 3 milhões) foi enviado para #TornadoCashenquanto o explorador… pic.twitter.com/IXNygpwoWa
-PeckShieldAlert (@PeckShieldAlert) 1º de dezembro de 2025
Como funcionou a exploração
Com base em relatos, o invasor aproveitou uma falha na lógica de cunhagem do yETH e produziu tokens da ordem de 235 trilhões de uma só vez.
Esses tokens sem valor foram então trocados por ativos reais dos pools Balancer e Curve vinculados ao produto, esvaziando a liquidez em minutos. Monitores de cadeia e pesquisadores de segurança mostraram que a moeda e as trocas subsequentes se desenrolaram muito rapidamente no blockchain.
Às 21h11 UTC do dia 30 de novembro, ocorreu um incidente envolvendo o pool de stableswap yETH que resultou na cunhagem de uma grande quantidade de yETH. O contrato impactado é uma versão personalizada do popular código stableswap, não relacionado a outros produtos Yearn. Os cofres Yearn V2/V3 não estão em risco.
– anseio (@yearnfi) 1º de dezembro de 2025
Quais ativos foram levados
Relatórios revelaram que cerca de US$ 8 milhões foram retirados do pool principal de swap estável yETH, enquanto cerca de US$ 0,9 milhão foram retirados de um pool yETH – WETH.
Além disso, cerca de 1.000 ETH – avaliados em cerca de US$ 3 milhões no momento da movimentação – foram enviados ao Tornado Cash na tentativa de obscurecer a trilha. O invasor converteu o YETH falso em uma mistura de ETH e tokens de staking líquidos antes de tentar lavar fundos.
Impacto nos principais produtos da Yearn
De acordo com funcionários da Yearn e cobertura de acompanhamento, a violação foi limitada a uma implementação antiga e legada do produto yETH e não afetou os principais cofres V2 e V3 da Yearn.
Os depósitos no reservatório afetado foram isolados enquanto a equipe e especialistas externos iniciavam uma investigação. Diz-se que esse isolamento evitou que a maior parte dos fundos dos usuários em cofres ativos fosse tocada.
Reação do mercado e preocupações mais amplas
Os mercados de criptografia viram pressão de venda à medida que a notícia se espalhava, com os traders avaliando o risco que advém da combinação de tokens de staking líquidos com código de swap personalizado.
A Yearn Finance disse que está trabalhando com equipes de segurança externas para fazer uma autópsia e corrigir a vulnerabilidade. Com base nos relatórios, as equipes citadas na cobertura incluem auditores externos e investigadores de blockchain que rastreiam os fundos roubados e aconselham sobre opções de recuperação.
O aviso do protocolo alertou os usuários sobre o produto legado afetado e pediu cautela enquanto a revisão continua.
Imagem em destaque do Unsplash, gráfico do TradingView
Fontenewsbtc
