El antiguo protocolo de Finanzas descentralizadas ha tenido problemas nuevamente.

El agregador de participación líquida yETH de Yearn Finance fue atacado hoy por un hacker, y casi todo el fondo fue vaciado. La técnica de ataque fue bastante dura: el hacker logró una especie de "acuñación infinita" a través de una vulnerabilidad en el contrato, y con una sola transacción vació el fondo, llevándose 1000 ETH (alrededor de 3 millones de dólares) y los lanzó al mezclador Tornado Cash.

Los datos en la cadena muestran claramente: varios contratos inteligentes recién desplegados participaron en esta acción, y después de que se completó, estos contratos se autodestruyeron inmediatamente para eliminar las huellas. Antes del incidente, el valor total en la piscina de yETH era de aproximadamente 11 millones de dólares, ahora se está contabilizando cuánto se ha evaporado exactamente, pero la pérdida no será pequeña.

Lo curioso es que este asunto no fue descubierto inicialmente por el equipo del proyecto, sino que fue el usuario de Twitter Togbe quien primero notó la anomalía: se dio cuenta de que había una gran cantidad de interacciones sospechosas relacionadas con los protocolos Balancer y Rocket Pool, y combinado con la frecuente invocación de Tornado Cash, confirmó básicamente que se trataba de un ataque. Posteriormente, el equipo de Yearn respondió que su producto Vault no se vio afectado, pero los usuarios de yETH probablemente están un poco nerviosos.

Este tipo de combinación "minar-reducir-mezclar" no es la primera vez que se presenta en el círculo de Finanzas descentralizadas. Por más estrictas que sean las auditorías de contratos inteligentes, no pueden resistir a los hackers que observan tu fondo día y noche buscando nuevas ideas.