Recomendado

Depósito cripto Realice transferencias instantáneas de criptomonedas a su cuenta de futuros
Futuros perpetuos USDT-M Opere con contratos de futuros liquidados en USDT
Descuentos de tasas VIP Disfrute de diferentes descuentos sobre las tasas en función de su nivel VIP
Futuros perpetuos COIN-M Opere con contratos de futuros liquidados en criptomonedas
Depósito fiat Compre sus monedas favoritas en segundos
Afiliados Invite a sus amigos y obtenga recompensas
Convertir Convierta criptomonedas al instante
Centro de soporte Aquí podrá encontrar las preguntas más frecuentes (FAQ)
Anuncios Consulte todos nuestros comunicados y avisos oficiales
BTCC Academy Aprenda sobre blockchain y criptomonedas
Noticias Las últimas tendencias del mercado de criptomonedas

Promociones

Recomendación
Campañas
Activos
Depósito cripto
Depósito fiat
Convertir
Transferencia
Retirar
Mis cupones
Historial de fondos
Dashboard
Seguridad de la cuenta
Verificación de identidad
Administración API
Informe de transacciones
Cerrar sesión
registrarme
BTCC / BTCC Square / CointribuneES /
Ataque expone vulnerabilidad crítica en Yearn Finance: Contrato yETH drenado por millones

Ataque expone vulnerabilidad crítica en Yearn Finance: Contrato yETH drenado por millones

Author:
CointribuneES
Published:
2025-12-01 19:11:00
13
2

Un exploit en el protocolo de yield farming sacude la confianza en los contratos inteligentes—y en los auditores que los aprueban.

La brecha técnica

El contrato yETH, diseñado para optimizar rendimientos sobre staking de Ethereum, contenía una falla que permitió a un actor malintencionado desviar fondos. El ataque no requirió hackeo sofisticado, sino que explotó una lógica de contrato defectuosa—el tipo de error que una auditoría rigurosa debería haber capturado.

Millones en juego

El drenaje afectó a usuarios que depositaron en la estrategia, con pérdidas que ascienden a millones. Los detalles exactos siguen bajo investigación, pero los primeros informes sugieren que el exploit aprovechó interacciones entre contratos que no fueron debidamente restringidas.

Las consecuencias inmediatas

Yearn Finance desactivó la estrategia vulnerable y lanzó una investigación completa. El equipo promete transparencia y un plan de compensación, mientras la comunidad DeFi cuestiona por qué estos fallos persisten en protocolos con tanto capital en juego. Porque en las finanzas descentralizadas, a veces la única cosa descentralizada es el riesgo.

Un recordatorio incómodo

Este incidente subraya una verdad incómoda: en la carrera por lanzar productos y capturar TVL, la seguridad a veces queda como una nota al pie. Los usuarios pagan el precio, los hackers se llevan el botín, y el ecosistema aprende—una vez más—la misma lección costosa. Porque en cripto, la innovación avanza a velocidad de luz, pero la prudencia parece moverse a paso de tortuga.

Un hombre en pánico frente a una pantalla roja, una caja fuerte que explota liberando tokens, siluetas de hackers al fondo.

Léanos en Google News

En breve

  • Yearn Finance pierde 9 millones debido a una vulnerabilidad en un contrato de swap personalizado.
  • El error técnico: una división omitida en el cálculo del producto de saldo virtual.
  • El atacante utiliza contratos temporales para drenar activos y confundir las pistas.
  • Con una sola transacción se embolsó el 100% de la liquidez del pool yETH afectado.

Cuando la aritmética explota: un bug que vale millones

El 30 de noviembre, un usuario pudo crear 2,35 × 10³⁸ yETH gracias a una vulnerabilidad sutil en la función swap() del contrato inteligente. Este contrato estaba diseñado para mantener una regla de equilibrio entre tokens. Pero se omitió una división crítica en la fórmula. Resultado: la variable vb_prod se disparó. Como un velocímetro bloqueado al máximo, engañó al protocolo sobre su propio estado.

El exploit fue confirmado por PeckShield, que alertó en un tuit que cerca de 9 millones de dólares habían sido perdidos. Parte de los fondos – unos 3 millones en ETH – fueron enviados a través de Tornado Cash, un mixer criptográfico conocido utilizado para confundir las pistas. El resto aún permanece en la dirección del hacker.

La gravedad del bug no es un simple descuido. Como explicó Ilia.eth en X:

La explotación de hoy en el pool $yETH no fue un ataque tipo flash loan sobre el precio, sino un colapso estructural de la contabilidad interna del AMM. Aquí un análisis técnico que muestra cómo una simple división olvidada condujo a un drenaje completo del protocolo.

Esta vulnerabilidad recuerda dolorosamente al caso de Balancer, donde una mala gestión de los redondeos causó un caos similar. Misma causa, mismo efecto: creación monetaria descontrolada, seguida de un retiro legítimo pero destructivo.

Contratos «helper» para arrasar con la arquitectura de Yearn Finance

No solo impresiona el bug, sino la ingeniería del ataque. En una sola transacción, el hacker orquestó todo: despliegue de «helper contracts», mint de tokens, conversión a ETH, transferencia de fondos y autodestrucción de contratos para borrar las huellas.

Según Blockscout, cada contrato helper hizo una llamada específica a la función vulnerable, luego envió el ETH a una wallet maestra antes de desaparecer. Una estrategia digna de un robo de película, donde el ladrón borra sus huellas digitales en el mismo segundo en que actúa.

La dirección clave identificada por varios analistas es: 0xa80d…c822, actualmente con aproximadamente 6 millones en stETH, rETH y otros derivados de Ethereum.

En X, William Li propone una lectura complementaria:

El hacker en realidad no retiró todos los yETH que creó, solo vendió una parte en el pool yETH-ETH por 1,000 ETH (unos 3 millones de dólares), lo cual es mucho menor que la ganancia real que obtuvo (P2).

Más que un robo, es por tanto una desintegración controlada del protocolo yETH. Y detrás del ataque, un conocimiento matemático profundo, combinado con un talento de programación frío y preciso.

Cripto y confianza: cuando el código se convierte en el talón de Aquiles

Yearn Finance está lejos de ser un proyecto amateur. Y sin embargo, la vulnerabilidad no fue detectada ni por los usuarios ni por las auditorías. Aquí es donde el asunto se vuelve preocupante para todo el mercado cripto. Porque este tipo de error – una multiplicación en lugar de una división – podría existir en otros protocolos, acechando.

La estructura del contrato yETH es un híbrido entre Curve y Balancer. Pero en lugar de recalcular en cada transacción, almacena un estado intermedio (vb_prod) que se supone debe actualizarse tras cada swap. Una práctica riesgosa, según Ilia.eth:

Almacenar resultados de productos complejos (vb_prod) para actualizarlos incrementalmente es extremadamente arriesgado. Los errores se acumulan y el menor bug lógico puede permanecer activo indefinidamente. Sería mejor recalcular los invariantes a partir de los saldos actuales.

El hack reabre el debate: ¿se debe privilegiar la economía de gas o la rigurosidad? Algo está claro: las consecuencias de un arbitraje mal hecho ahora se cuentan en millones. En Yearn, es momento de reactivarse: SEAL911, ChainSecurity y una investigación post mortem ya están en marcha.

5 datos clave sobre el exploit de Yearn Finance 

  • 30 de noviembre de 2025: fecha del hackeo;
  • 9 millones $: pérdidas totales estimadas;
  • 2,35 × 10³⁸ yETH: tokens creados artificialmente;
  • Una sola transacción: todo el ataque ocurrió en un bloque;
  • Helper contracts: desplegados, usados y luego autodestruidos.

Los errores de cálculo en cripto no perdonan. Y no es cuestión de una auditoría más que hubiera evitado la matanza. Balancer, pese a 11 auditorías de seguridad, también fue vaciado por un bug casi gemelo. Un simple factor de multiplicación puede volverse un arma de destrucción masiva cuando las finanzas se vuelven programables. Los protocolos tienen memoria corta, pero las blockchains no olvidan nada.

¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.


|Square

Descárguese la aplicación BTCC para empezar su trayectoria cripto

Download on the App Store GEI IT ON Google Play

Empiece hoy mismo Escanéelo y únase a más de 100 millones de usuarios

Exchange for a better future

Productos
Servicios
Guías
Sobre nosotros
Términos y acuerdo de servicio
Servicio de atención al cliente

Advertencia de riesgo: El comercio de activos digitales es una industria emergente con brillantes perspectivas de futuro, pero también trae aparejada grandes riesgos, ya que se trata de un mercado totalmente nuevo. Este riesgo es especialmente alto al realizar operaciones con apalancamiento, ya que el apalancamiento magnifica los beneficios pero, al mismo tiempo, también amplifica los riesgos. Antes de abrir una posición de inversión, asegúrese de conocer bien la industria, los modelos de trading con apalancamiento y las reglas de trading. Además, también le recomendamos encarecidamente que determine cuál es su tolerancia personal al riesgo y que solo corra los riesgos que esté dispuesto a asumir. Toda inversión u operación conlleva riesgos. Por lo tanto, debe ser prudente al entrar en el mercado.

El intercambio de criptomonedas más antiguo del mundo desde 2011. © 2011 - 2025 BTCC.com. All rights reserved

Descargo de responsabilidad: Los artículos reproducidos en este sitio provienen de redes públicas y se comparten únicamente con el propósito de transmitir información sectorial, sin representar una posición oficial de BTCC. Los derechos de autor corresponden a sus respectivos creadores. Si detecta contenido que infringe derechos de autor o resulta cuestionable, contacte con nosotros en [email protected] para que podamos proceder de acuerdo con la ley. BTCC no garantiza la exactitud, actualidad o integridad de la información reproducida y declina cualquier responsabilidad, expresa o implícita, derivada del uso de dicha información. Todo el contenido se proporciona como referencia para la investigación sectorial y no constituye una recomendación de inversión, legal o comercial. BTCC no se hace responsable de las acciones emprendidas en base a esta información.