Yearn Finance V1: Vulnerabilidad en bóveda heredada de TUSD expone $300,000
Un antiguo contrato de Yearn Finance vuelve a ser noticia por los motivos equivocados. La plataforma de yield optimization, pionera en su momento, ha sufrido una explotación en una de sus bóvedas V1 consideradas 'legacy'. El objetivo: la bóveda de TUSD.
El mecanismo del ataque
Los atacantes no necesitaron romper criptografía avanzada. En su lugar, aprovecharon una lógica de contrato obsoleta en la bóveda heredada para desviar fondos. El exploit, que resultó en una pérdida de $300,000, subraya un riesgo persistente en DeFi: el coste de mantener código antiguo en un ecosistema que se mueve a la velocidad de la luz.
Lecciones para un ecosistema en crecimiento
El incidente sirve como un recordatorio contundente. La innovación frenética de DeFi a menudo deja atrás infraestructuras anteriores, creando 'deuda técnica' en cadena que los actores malintencionados están encantados de cobrar. Mientras los protocolos compiten por lanzar la siguiente gran función, la seguridad de los productos heredados puede quedar en un segundo plano—hasta que alguien presenta la factura.
Para los usuarios, la moraleja es clara: lo 'probado en batalla' a veces solo significa que ha sobrevivido a sus propios bugs. La verdadera resiliencia en las finanzas descentralizadas requiere tanto mirar hacia adelante como vigilar lo que se dejó atrás. Al fin y al cabo, en cripto, la historia no se repite, pero a menudo rima—y esta vez la rima salió cara.
Una bóveda mal configurada de Yearn Finance provocó una manipulación de precios
Según un análisis del investigador de criptomonedas seudónimo y ex alumno de la Universidad de Ciencia y Tecnología de China, Weilin Li, la bóveda configuró una de sus estrategias como una bóveda sUSD de Fulcrum y calculó el precio de sus acciones utilizando solo el saldo de sUSD depositado.
Esto dio lugar a los llamados "ataques de donación", en los que un atacante transfiere activos directamente a una bóveda para distorsionar las métricas contables. Tras enviar tokens sUSD de Fulcrum a la bóveda TUSD de Yearn, los perpetradores lograron inflar artificialmente el precio de las acciones reportado en la bóveda.
El problema se agravó por una función de reequilibrio que retira todos los activos subyacentes en sUSD, un activo no incluido en los cálculos del precio de las acciones de la bóveda. Cuando comenzó el reequilibrio, el precio de las acciones de la bóveda se desplomó y generó un shock de precios.
Según la instantánea de Etherscan de PeckShield Alert, el atacante ejecutó préstamos flash secuenciados tomando prestadas grandes cantidades de TUSD y sUSD sin garantía inicial. Posteriormente, depositó sUSD para acuñar tokens sUSD de Fulcrum antes de depositar TUSD en la bóveda de TUSD de Yearn.
En ese momento, todos los activos subyacentes de la bóveda de TUSD consistían en tokens sUSD de Fulcrum. El atacante se retiró de la bóveda de TUSD de Yearn e invocó la función de reequilibrio, obligando a Fulcrum a canjear todo por sUSD. Debido a que sUSD se excluyó del cálculo del precio de las acciones, la contabilidad de la bóveda colapsó, llevando el precio de las acciones a cero.
El atacante transfirió entonces una pequeña cantidad de TUSD a la bóveda, lo que desplomó el precio de las acciones a niveles extremadamente bajos y acuñó una cantidad descomunal de tokens Yearn TUSD a un coste mínimo. Finalmente, obtuvo ganancias vendiendo los tokens Yearn TUSD adquiridos a bajo precio en los pools de Curve,tracvalor de los proveedores de liquidez antes de reembolsar los préstamos flash.
Yearn Finance resume la vulnerabilidad de 2023, relata un investigador
El investigador Li descubrió que el exploit era similar a un ataque perpetrado en 2023, que provocó pérdidas superiores a los 10 millones de dólares. Eltracinmutable de yUSDT, objetivo de esedent anterior, se implementó hace más de tres años, durante los inicios de iearn, cuando el difunto Andre Cronje dirigía el protocolo.
Solo para agregar, este es exactamente el mismo vector de ataque que la última vez: https://t.co/MKfn7kikJ7
cc @yearnfi @RektHQ
– Weilin (William) Li (@ hklst4r) 16 de diciembre de 2025
Los analistas de seguridad pesimistas habían emitido una advertencia sobre la vulnerabilidad en las redes sociales antes del exploit, pero comotracinteligentes inmutables no se pueden parchar ni pausar una vez implementados, era inevitable.
“Aprende finanzas, Smoothswap, tengan cuidado. Esta dirección 0x5bac20…ed8e9cdfe0 obtuvo 10 ETH de Tornado y está implementandotraccon préstamos rápidos usando sus direcciones”, escribió Nikiti Kirillov de PS.
Un de Yearn, conocido como storming0x, admitió el ataque y aseguró a los usuarios que sus contratos actuales trac seguros. Sin embargo, los analistas de Rekt News revelaron DeFi tardó 1156 días en detectar una vulnerabilidad multimillonaria.
Eltracdel token yUSDT de Yearn generó rendimientos a partir de una canasta de posiciones con rendimiento, incluyendo depósitos en USDT en Aave, Compound, dYdX y Fulcrum de BzX. Sin embargo, desde su lanzamiento, yUSDT contenía un error de copia y pegado que hacía referencia a la dirección USDC de Fulcrum en lugar deltracUSDT de Fulcrum.
Usando solo 10.000 USDT, los piratas informáticos pudieron acuñar aproximadamente 1,2 billones de yUSDT, drenando valor del sistema antes de cash.
El dent ocurre menos de una semana después de que Cryptopolitan presentara un drenaje de $2.7 millones de un antiguo contrato trac a Ribbon Finance, la versión renombrada de Aevo. Dicho ataque implicó interacciones repetidas con un trac en la dirección 0x9D7b…8ae6B76. El atacante invocó funciones como transferOwnership y setImplementation para manipular los proxies de precios mediante llamadas de delegado.
Reclama tu asiento gratuito en una comunidad exclusiva de comercio de criptomonedas , limitada a 1000 miembros.
