Yearn Finance : Una vulnerabilidad en el contrato yETH permite a un hacker drenar millones
Siempre vuelven, más inventivos, más técnicos. Los hackers acaban de dar un nuevo golpe de efecto en la esfera cripto. Esta vez, le tocó a Yearn Finance. Resultado: 9 millones de dólares desaparecidos. Detrás del exploit, un error de rara complejidad en el contrato yETH. En superficie, un simple swap. En profundidad, un caos matemático. Y lo peor es que no es un caso aislado.
En breve
- Yearn Finance pierde 9 millones debido a una vulnerabilidad en un contrato de swap personalizado.
- El error técnico: una división omitida en el cálculo del producto de saldo virtual.
- El atacante utiliza contratos temporales para drenar activos y confundir las pistas.
- Con una sola transacción se embolsó el 100% de la liquidez del pool yETH afectado.
Cuando la aritmética explota: un bug que vale millones
El 30 de noviembre, un usuario pudo crear 2,35 × 10³⁸ yETH gracias a una vulnerabilidad sutil en la función swap() del contrato inteligente. Este contrato estaba diseñado para mantener una regla de equilibrio entre tokens. Pero se omitió una división crítica en la fórmula. Resultado: la variable vb_prod se disparó. Como un velocímetro bloqueado al máximo, engañó al protocolo sobre su propio estado.
El exploit fue confirmado por PeckShield, que alertó en un tuit que cerca de 9 millones de dólares habían sido perdidos. Parte de los fondos – unos 3 millones en ETH – fueron enviados a través de Tornado Cash, un mixer criptográfico conocido utilizado para confundir las pistas. El resto aún permanece en la dirección del hacker.
La gravedad del bug no es un simple descuido. Como explicó Ilia.eth en X:
La explotación de hoy en el pool $yETH no fue un ataque tipo flash loan sobre el precio, sino un colapso estructural de la contabilidad interna del AMM. Aquí un análisis técnico que muestra cómo una simple división olvidada condujo a un drenaje completo del protocolo.
Esta vulnerabilidad recuerda dolorosamente al caso de Balancer, donde una mala gestión de los redondeos causó un caos similar. Misma causa, mismo efecto: creación monetaria descontrolada, seguida de un retiro legítimo pero destructivo.
Contratos «helper» para arrasar con la arquitectura de Yearn Finance
No solo impresiona el bug, sino la ingeniería del ataque. En una sola transacción, el hacker orquestó todo: despliegue de «helper contracts», mint de tokens, conversión a ETH, transferencia de fondos y autodestrucción de contratos para borrar las huellas.
Según Blockscout, cada contrato helper hizo una llamada específica a la función vulnerable, luego envió el ETH a una wallet maestra antes de desaparecer. Una estrategia digna de un robo de película, donde el ladrón borra sus huellas digitales en el mismo segundo en que actúa.
La dirección clave identificada por varios analistas es: 0xa80d…c822, actualmente con aproximadamente 6 millones en stETH, rETH y otros derivados de Ethereum.
En X, William Li propone una lectura complementaria:
El hacker en realidad no retiró todos los yETH que creó, solo vendió una parte en el pool yETH-ETH por 1,000 ETH (unos 3 millones de dólares), lo cual es mucho menor que la ganancia real que obtuvo (P2).
Más que un robo, es por tanto una desintegración controlada del protocolo yETH. Y detrás del ataque, un conocimiento matemático profundo, combinado con un talento de programación frío y preciso.
Cripto y confianza: cuando el código se convierte en el talón de Aquiles
Yearn Finance está lejos de ser un proyecto amateur. Y sin embargo, la vulnerabilidad no fue detectada ni por los usuarios ni por las auditorías. Aquí es donde el asunto se vuelve preocupante para todo el mercado cripto. Porque este tipo de error – una multiplicación en lugar de una división – podría existir en otros protocolos, acechando.
La estructura del contrato yETH es un híbrido entre Curve y Balancer. Pero en lugar de recalcular en cada transacción, almacena un estado intermedio (vb_prod) que se supone debe actualizarse tras cada swap. Una práctica riesgosa, según Ilia.eth:
Almacenar resultados de productos complejos (vb_prod) para actualizarlos incrementalmente es extremadamente arriesgado. Los errores se acumulan y el menor bug lógico puede permanecer activo indefinidamente. Sería mejor recalcular los invariantes a partir de los saldos actuales.
El hack reabre el debate: ¿se debe privilegiar la economía de gas o la rigurosidad? Algo está claro: las consecuencias de un arbitraje mal hecho ahora se cuentan en millones. En Yearn, es momento de reactivarse: SEAL911, ChainSecurity y una investigación post mortem ya están en marcha.
5 datos clave sobre el exploit de Yearn Finance
- 30 de noviembre de 2025: fecha del hackeo;
- 9 millones $: pérdidas totales estimadas;
- 2,35 × 10³⁸ yETH: tokens creados artificialmente;
- Una sola transacción: todo el ataque ocurrió en un bloque;
- Helper contracts: desplegados, usados y luego autodestruidos.
Los errores de cálculo en cripto no perdonan. Y no es cuestión de una auditoría más que hubiera evitado la matanza. Balancer, pese a 11 auditorías de seguridad, también fue vaciado por un bug casi gemelo. Un simple factor de multiplicación puede volverse un arma de destrucción masiva cuando las finanzas se vuelven programables. Los protocolos tienen memoria corta, pero las blockchains no olvidan nada.
¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.
¡La revolución blockchain y cripto está en marcha! Y el día en que los impactos se sientan en la economía más vulnerable del mundo, contra toda esperanza, diré que fui parte de ella
Las ideas y opiniones expresadas en este artículo pertenecen al autor y no deben tomarse como consejo de inversión. Haz tu propia investigación antes de tomar cualquier decisión de inversión.