Protocolo Yearn Finance sofre violação de US$ 9 milhões - O que isso significa para o DeFi?

Um ataque explorou vulnerabilidades no ecossistema de yield aggregation, drenando milhões em ativos digitais.

Como o exploit funcionou

O mecanismo de ataque contornou verificações de contrato inteligente, redirecionando fundos através de uma série de transações complexas. A falha não estava no núcleo do protocolo Yearn, mas em uma integração periférica - um lembrete brutal de que a segurança na DeFi é tão forte quanto seu elo mais fraco.

Impacto imediato no mercado

O preço do token nativo do Yearn caiu 15% nas horas seguintes ao anúncio, enquanto os volumes de TVL (Total Value Locked) no protocolo encolheram. Outras plataformas de yield farming registraram saídas menores, mostrando o efeito contagio típico quando a confiança é abalada.

Resposta da equipe e mitigação

Os desenvolvedores do Yearn isolaram o vetor de ataque e iniciaram auditorias emergenciais em todas as integrações ativas. Um fundo de seguro do protocolo cobrirá parte das perdas - porque no mundo cripto, até os hacks vêm com franquia.

O futuro da segurança DeFi

Este incidente destaca a corrida armamentista entre desenvolvedores e atacantes no espaço descentralizado. Cada violação bem-sucedida força a indústria a evoluir, tornando os protocolos mais robustos - mesmo que às custas dos early adopters que financiam essa educação cara com seus ativos.

O protocolo de finanças descentralizadas (DeFi) Yearn Finance sofreu uma grave violação de segurança, resultando em uma perda de aproximadamente US$ 9 milhões. De acordo com informações, o ataque ocorreu em um pool associado ao yETH, token que faz parte do protocolo.

Hackers tiveram acesso ao pool de swap estável legado associado ao yETH, obtido de forma ilegítima. Com isso eles puderam criar um número infinito de tokens e drenar a liquidez do protocolo.

A empresa de segurança blockchain Peckshield foi a primeira a alertar sobre o incidente. Na noite de domingo (30), a empresa anunciou o ataque em sua conta no X. O Yearn Finance confirmou o ataque duas horas depois e disse que a ação afetou apenas os pools de liquidez. Os cofres do protocolo, segundo a equipe, permaneceu intactos.

• Leia também: Jorge Seif defende reserva soberana de Bitcoin e critica excesso de regulação no Brasil

Falha em contrato possibilitou roubo

De acordo com a PeckShield, o atacante explorou uma vulnerabilidade crítica no contrato do token yETH, que permitiu a criação de novos yETH sem a necessidade de garantias adequadas. Ou seja, os invasores puderam emitir tokens infinitamente e sem dar contrapartidas.

Em seguida, os hackers começaram a drenar a liquidez de um pool fora dos produtos principais de cofres da Yearn. A equipe do protocolo afirmou que eles drenaram US$ 8 milhões do pool em si e mais US$ 900 mil em tokens yETH. O ataque também afetou outros pools localizados na plataforma Curve.

O alvo do ataque foi um contrato personalizado projetado para agregar derivativos Ethereum em staking, como stETH e rETH. Após o ataque, os responsáveis ​​lavaram mais de US$ 3 milhões em ETH roubados através do Tornado Cash.

Enquanto isso, os US$ 6 milhões restantes em diversos ativos Ethereum em staking permanecem em seus endereços de carteira (0xa80d…c822), de acordo com as últimas varreduras do blockchain.

O Yearn Finance também confirmou a invasão em seu servidor. Após o ataque, o protocolo fez uma parceria com a organização Security Alliance (SEAL) para investigar como o roubo aconteceu. Eles afirmaram que os resultados da auditoria serão divulgados ao público.

Para os usuários impactados, a equipe orientou abrir um chamado de suporte no Discord do projeto e buscar orientações.

Investigação inicial

As primeiras conclusões sugerem que o incidente apresenta um nível de complexidade técnica semelhante ao do recente ataque à exchange descentralizada Balancer. O ataque ocorreu na sexta-feira (28/11) e resultou na perda de US$ 128 milhões em fundos. A DEX recuperou apenas US$ 8 milhões, mas já anunciou um plano para devolver os fundos perdidos pelos clientes.

Quanto ao ataque contra o Yearn Finance, analistas on-chain rastrearam o incidente na Balancer até uma falha de precisão na aritmética de ponto fixo inteira usada para calcular os fatores de escala em Composable Stable Pools (CSPs). Acredita-se que a mesma estratégia foi utilizada no ataque contra o protocolo.

Posteriormente, a SlowMist compartilhou que a falha levou a discrepâncias de preço sutis, porém repetidas, durante as trocas, principalmente quando os atacantes executavam múltiplas operações em uma única transação usando a função de troca em lote.

Enquanto isso, o incidente na Yearn ocorre logo após a exchange coreana Upbit sofrer sua própria falha de segurança, que resultou na perda de US$ 50 milhões em Ethereum (ETH).

• Leia também: Bitcoin Hoje 01/12/2025: BTC tem pior resultado mensal do ano e saídas recordes nos ETFs