Yearn Finance revela un error aritmético que condujo a la “acuñación ilimitada” de yETH por valor de 9 millones de USD

El protocolo DeFi Yearn Finance ha publicado un informe post-mortem sobre el ataque a yETH ocurrido la semana pasada, señalando que un error aritmético en el antiguo pool stableswap permitió al atacante “mintear casi ilimitadamente” tokens LP y retirar unos 9 millones de USD en activos. Yearn también confirmó que ha recuperado parte de los fondos robados.

Incidente y mecanismo de ataque

Según Yearn, el pool yETH weighted stableswap fue explotado en el bloque 23.914.086 el 30/11/2025, tras una secuencia compleja de operaciones que llevó al solver (solver) del pool a un estado incorrecto y finalmente provocó un error de arithmetic underflow.

Las vaults v2, v3 y otros productos no se vieron afectados; las pérdidas se concentraron únicamente en yETH y las integraciones relacionadas.

El pool atacado era un stableswap personalizado que agregaba varios tokens de liquid staking (LST) como apxETH, sfrxETH, wstETH, cbETH, rETH, ETHx, mETH, wOETH junto al pool yETH/WETH. Antes del incidente, estos pools poseían una cesta de LST y 298,35 WETH.

Tres fases del ataque y la “minteada infinita”

El post-mortem divide el ataque en tres fases:

1. Provocar un desequilibrio grave en add_liquidity

   El atacante realizó depósitos de liquidez extremadamente desequilibrados, forzando al solver fijo del pool a operar fuera de su diseño previsto. Esto hizo que una variable interna (Π) cayera a 0, rompiendo el invariante del weighted stableswap y permitiendo el over-minting de grandes cantidades de tokens LP.

2. Vaciar los activos mediante remove_liquidity

   Con los LP sobre-minteados, el atacante llamó repetidamente a remove_liquidity y funciones relacionadas para retirar la mayor parte de la liquidez LST, trasladando el coste del mint erróneo hacia la liquidez propiedad del protocolo (POL). Este proceso redujo la oferta interna del pool a 0 aunque el saldo ERC-20 seguía existiendo.

3. Reactivar la lógica “bootstrap” y crear minteo infinito

   El atacante volvió a la vía de inicialización del pool, reservada solo para el primer despliegue. Enviando una configuración “dust” que violaba las condiciones del dominio de datos, activó una operación unsafe_sub que causó un underflow, generando una cantidad de yETH LP “casi infinita”, que luego usó para vaciar el pool yETH/ETH en Curve.

Recuperación de activos y enfoque de resolución

Yearn indicó que ha recuperado 857,49 pxETH gracias a la colaboración con Plume y Dinero; la transacción de recuperación se realizó el 1/12. Estos fondos se distribuirán proporcionalmente entre los depositantes de yETH según el saldo anterior a la explotación.

Aproximadamente 1.000 ETH robados fueron depositados en Tornado Cash la noche del incidente, y el resto también fue transferido a Tornado el 5/12. The Block informó previamente que unos 3 millones de USD en ETH habían sido enviados al mixer inmediatamente tras el ataque.

Yearn destaca que yETH opera bajo un modelo autogestionado basado en YIP-72, con la cláusula “Use at Own Risk”, y afirma que ni el equipo de Yearn ni la comunidad YFI tienen responsabilidad de reembolso. Todos los activos recuperados serán devueltos a los usuarios afectados.

Plan de mitigación

Para evitar la repetición del incidente, Yearn propone las siguientes medidas:

• Añadir comprobaciones claras sobre el dominio de entrada para el solver; tratar Π = 0 como un error crítico.
• Sustituir todas las operaciones aritméticas no seguras por matemáticas comprobadas en las partes críticas.
• Deshabilitar o limitar la lógica bootstrap una vez el pool esté operativo.
• Limitar estrictamente la cantidad de LP emitidos en función del valor real depositado.
• Ampliar los test de fuzzing por invariante, pruebas aritméticas inversas y tests de contraste con modelos off-chain.

Yearn agradece a ChainSecurity por ayudar en el análisis de la causa raíz y a SEAL 911 por su apoyo en la respuesta al incidente y la recuperación de fondos. Las investigaciones y el rastreo de los fondos del atacante continúan.

Vương Tiễn