O protocolo de finanças descentralizadas (DeFi) Yearn Finance sofreu um ataque cibernético que resultou em uma perda de cerca de US$ 9 milhões. O incidente aconteceu em um pool associado ao yETH, um token que faz parte desse sistema.
Os hackers conseguiram acessar um pool de swap estável relacionado ao yETH, permitindo que criassem um número ilimitado de tokens. Isso resultou na drenagem da liquidez do protocolo. A empresa especializada em segurança blockchain Peckshield foi a primeira a dar o alerta sobre essa violação. Na noite de domingo (30), eles postaram sobre o ataque em suas redes sociais. Poucas horas depois, o Yearn Finance confirmou o ocorrido, afirmando que a ação afetou apenas os pools de liquidez e que os cofres do protocolo permaneceram seguros.
Falha em contrato possibilitou o roubo
Segundo a Peckshield, os hackers exploraram uma vulnerabilidade crítica no contrato do token yETH, que permitiu a emissão de novos yETH sem garantias adequadas. Isso significa que os invasores puderam criar tokens à vontade e sem contrapartidas. Em seguida, começaram a drenar a liquidez de um pool que não estava entre os principais produtos do Yearn. A equipe do protocolo revelou que os hackers drenaram US$ 8 milhões do pool e mais US$ 900 mil em yETH. Outras plataformas, como a Curve, também foram afetadas pelo ataque.
O foco do ataque foi um contrato customizado, criado para agregar derivativos Ethereum em staking, como stETH e rETH. Depois da ação, os responsáveis pela invasão conseguiram lavar mais de US$ 3 milhões em ETH por meio do Tornado Cash. Os US$ 6 milhões restantes em ativos Ethereum ainda estão em seus endereços de carteira, conforme as últimas análises do blockchain. O Yearn Finance também confirmou que houve uma invasão em seu servidor e, para apurar os detalhes do roubo, firmou uma parceria com a organização Security Alliance (SEAL). Os resultados dessa auditoria devem ser divulgados em breve. Para os usuários que foram impactados, a equipe recomendou abrir um chamado no Discord do projeto para obter mais informações.
Investigação inicial
Os primeiros resultados apontam que o ataque tem uma complexidade técnica semelhante à do recente ataque na exchange descentralizada Balancer, que ocorreu na sexta-feira (28/11) e causou a perda de US$ 128 milhões em fundos. Embora a DEX tenha conseguido recuperar apenas US$ 8 milhões, já anunciou um plano para devolver o que foi perdido pelos clientes.
Sobre o incidente com o Yearn Finance, analistas on-chain rastrearam o ataque na Balancer até uma falha de precisão na aritmética de ponto fixo, utilizada para calcular os fatores de escala em Composable Stable Pools (CSPs). Acredita-se que os hackers aplicaram uma estratégia similar no ataque ao Yearn.
A SlowMist também reportou que a falha ocasionou discrepâncias de preço leves, mas repetitivas durante as transações, especialmente quando os atacantes executavam várias operações em uma única transação. Essa cadeia de eventos ocorre em um momento delicado, já que a exchange coreana Upbit também sofreu um ataque recente, resultando na perda de US$ 50 milhões em Ethereum (ETH).
