Yearn Finance confirmou um exploit ativo direcionado ao seu produto yETH em 30 de novembro, depois que um invasor cunhou um suprimento praticamente ilimitado de tokens e drenou liquidez de pools da Balancer. O incidente resultou em cerca de US$ 2,8 milhões em ativos roubados. Aproximadamente 1.000 ETH foram lavados por meio do Tornado Cash logo após o ataque, enquanto os preços do token YFI subiram inesperadamente de perto de US$ 4.080 para mais de US$ 4.160 em menos de uma hora, apesar das notícias negativas.
O que aconteceu: ataque de cunhagem infinita
O exploit ocorreu por volta das 21h11 UTC de 30 de novembro, quando uma carteira maliciosa executou um ataque de cunhagem infinita que criou cerca de 235 trilhões de yETH em uma única transação, de acordo com dados on-chain.
O sistema de alertas da Nansen confirmou o ataque.
A vulnerabilidade existia no próprio contrato do token yETH, e não na infraestrutura de Vaults da Yearn, e o invasor usou os tokens recém-cunhados para drenar ativos reais — principalmente ETH e Liquid Staking Tokens — dos pools de liquidez da Balancer.
Estimativas iniciais sugerem que aproximadamente US$ 2,8 milhões em ativos foram removidos. Vários contratos auxiliares usados no exploit foram implantados minutos antes do incidente e se autodestruíram depois para obscurecer o rastro, enquanto cerca de 1.000 ETH foram lavados via Tornado Cash logo após o ataque.
A Yearn afirmou que os Vaults V2 e V3 não foram afetados, e a vulnerabilidade parece limitada à implementação legada de yETH.
Leia também: Strategy Would Sell Bitcoin Only as Last Resort if mNAV Drops Below 1x
Por que isso importa: impacto no mercado
A reação do mercado tomou um rumo inesperado. Logo depois de o exploit ter sido sinalizado nas redes sociais e por analistas de blockchain, o preço de YFI subiu de perto de US$ 4.080 para mais de US$ 4.160 em menos de uma hora, apesar das manchetes negativas envolvendo o ecossistema mais amplo da Yearn.
O pico de preço parece estar ligado à interpretação equivocada do mercado nos primeiros minutos do incidente, quando alegações iniciais de um “exploit da Yearn” motivaram posições vendidas altamente alavancadas em YFI, dada a baixa liquidez do token e seus movimentos historicamente agressivos de queda durante eventos de hack.
Quando ficou claro que o ataque estava isolado ao yETH e não aos Vaults da Yearn, os vendedores a descoberto começaram a recomprar suas posições. Isso desencadeou um breve short squeeze e um pico de preço impulsionado pela volatilidade. A oferta circulante de YFI é de apenas 33.984 tokens, o que o torna um dos principais ativos de governança DeFi mais ilíquidos, amplificando os movimentos de preço, especialmente em períodos de incerteza ou de fluxos rápidos de liquidação.
Por enquanto, as perdas parecem estar contidas aos pools de yETH e Balancer afetados pelo exploit, enquanto o Total Value Locked do protocolo permanece acima de US$ 600 milhões, sugerindo que os sistemas centrais não foram comprometidos. As investigações continuam em andamento.
Leia em seguida: Dogecoin ETFs Record $2 Million In Debut Week Inflows Far Below Analyst Projections