Yearn Finance : Uma falha no contrato yETH permite que um hacker drene milhões

Eles sempre voltam, mais inventivos, mais técnicos. Os hackers acabaram de dar mais um golpe de destaque na esfera cripto. Desta vez, a vítima é a Yearn Finance. Balanço: 9 milhões de dólares desaparecidos. Por trás do feito, um bug de rara complexidade no contrato yETH. Na superfície, uma simples troca (swap). Em profundidade, um caos matemático. E o pior é que não é um caso isolado.

Quando a aritmética explode: um bug que vale milhões

Em 30 de novembro, um usuário conseguiu criar 2,35 × 10³⁸ yETH graças a uma falha sutil na função swap() do contrato inteligente. Este contrato deveria manter uma regra de equilíbrio entre tokens. Só que uma divisão crítica foi omitida na fórmula. Resultado: a variável vb_prod se descontrolou. Como um velocímetro travado em alta rotação, ela enganou o protocolo sobre seu próprio status.

O exploit foi confirmado pela PeckShield, que alertou em um tweet que quase 9 milhões de dólares foram perdidos. Parte dos fundos – cerca de 3 milhões em ETH – foi enviada via Tornado Cash, um mixer criptográfico famoso usado para confundir as pistas. O restante ainda está na carteira do hacker.

A gravidade do bug não é um simples esquecimento. Como explicou Ilia.eth no X:

A exploração de hoje do pool $yETH não foi um ataque do tipo flash loan no preço, mas sim um colapso estrutural da contabilidade interna do AMM. Aqui está uma análise técnica mostrando como uma simples divisão esquecida levou ao esvaziamento completo do protocolo.

Essa falha lembra cruelmente o precedente do Balancer, onde uma má gestão dos arredondamentos causou um caos similar. Mesma causa, mesmo efeito: uma criação monetária descontrolada, seguida de uma retirada legítima, porém destrutiva.

“Helper contracts” para varrer a arquitetura da Yearn Finance

Não é só o bug que impressiona. É a engenharia do ataque. Em uma única transação, o hacker orquestrou tudo: lançamento de “helper contracts”, emissão de tokens, conversão em ETH, transferência dos fundos e auto-destruição dos contratos para apagar as pistas.

Segundo o Blockscout, cada helper contract executou uma chamada à função vulnerável, depois enviou o ETH para uma carteira principal antes de desaparecer. Uma estratégia digna de um assalto de filme, onde o ladrão apaga suas digitais no mesmo segundo em que age.

A carteira-chave identificada por vários analistas é: 0xa80d…c822, atualmente ainda detendo cerca de 6 milhões em stETH, rETH e outros derivados do Ethereum.

No X, William Li propõe uma leitura complementar:

O hacker na verdade não retirou todos os yETH que criou, ele vendeu apenas uma parte no pool yETH-ETH por 1.000 ETH (cerca de 3 milhões de dólares) — o que é bem inferior ao ganho real que obteve (P2).

Mais do que um roubo, é uma desintegração controlada do protocolo yETH. E por trás do ataque, um saber matemático profundo, aliado a um talento de programação frio e preciso.

Crypto e confiança: quando o código se torna o calcanhar de Aquiles

Yearn Finance está longe de ser um projeto amador. E, no entanto, a falha não foi detectada nem pelos usuários, nem pelas auditorias. É aqui que o caso se torna preocupante para todo o mercado cripto. Porque esse tipo de erro – uma multiplicação no lugar de uma divisão – pode existir em outros lugares, escondido em outros protocolos.

A estrutura do contrato yETH é um híbrido entre Curve e Balancer. Só que, em vez de recalcular a cada transação, ele armazena um estado intermediário (vb_prod) que deveria ser atualizado após cada swap. Uma prática perigosa, segundo Ilia.eth:

Armazenar os resultados de produtos complexos (vb_prod) para atualizá-los incrementalmente é extremamente arriscado. Os erros se acumulam, e o menor bug lógico pode permanecer ativo indefinidamente. Seria melhor recalcular os invariantes a partir dos saldos atuais.

O hack reabre o debate: deve-se priorizar a economia de gas ou a rigorosidade? Uma coisa é certa: as consequências de um arbitragem mal feita agora são medidas em milhões. Na Yearn, é hora de se remobilizar: SEAL911, ChainSecurity e uma investigação post mortem já estão na linha de frente.

5 fatos-chave sobre o exploit da Yearn Finance 

• 30 de novembro de 2025: data do hack;
• 9 milhões de $: perdas totais estimadas;
• 2,35 × 10³⁸ yETH: tokens criados artificialmente;
• Uma única transação: todo o ataque ocorreu em um bloco;
• Helper contracts: implantados, usados e depois autodestruídos.

Erros de cálculo, em cripto, não perdoam. E por uma boa razão: não é apenas mais uma auditoria que teria evitado o desastre. Balancer, apesar de 11 auditorias de segurança, também foi esvaziado por um bug quase gêmeo. Um simples fator de multiplicação pode se tornar uma arma de destruição em massa quando a finança se torna programável. Protocolos esquecem rápido, mas blockchains não esquecem nada.