Yearn Finance V1 sofre ataque de exploração de US$ 300.000 em cofre legado de TUSD

Um cofre antigo do Yearn Finance acaba de ser explorado, com o atacante levando US$ 300.000 em TUSD. A falha não afeta os produtos atuais da plataforma, mas serve como um lembrete sombrio: na DeFi, o código legado pode ser um passivo adormecido.

O que aconteceu?

O explorador mirou um contrato de cofre da versão V1 do Yearn, especificamente um que lidava com o stablecoin TrueUSD (TUSD). O ataque explorou uma vulnerabilidade no mecanismo de depósito do contrato legado, permitindo que o invasor retirasse fundos que não eram seus. A equipe do Yearn confirmou que os produtos V2 e V3 permanecem seguros.

O custo da complacência

O incidente destaca um risco persistente no ecossistema DeFi: a manutenção de contratos antigos. Enquanto os desenvolvedores avançam, os produtos anteriores muitas vezes ficam para trás – e esquecidos não significa inofensivos. É o equivalente digital a deixar uma janela do porão destrancada porque você se mudou para o andar de cima.

Um golpe de realidade para os 'HODLers'

Para os usuários que ainda mantinham fundos no V1, o ataque é um choque. Para o setor em geral, é mais uma lição em segurança proativa. Auditorias contínuas e descontinuação gerenciada são tão cruciais quanto os lançamentos de novos recursos. Afinal, na corrida por yields, alguém sempre está testando as fechaduras.

O takeaway? Inovação em cripto avança a velocidade da luz, mas a segurança – e a limpeza da bagagem técnica – ainda se arrasta no ritmo humano. Mais uma prova de que, às vezes, o maior risco não é a nova tecnologia, mas a velha que você esqueceu de desligar.

A configuração incorreta do cofre da Yearn Finance desencadeou manipulação de preços. 

De acordo com uma análise de Weilin Li, pesquisador de criptomoedas que usa pseudônimo e ex-aluno da Universidade de Ciência e Tecnologia da China, o cofre configurou uma de suas estratégias como um cofre Fulcrum sUSD e calculou o preço de suas ações usando apenas o saldo de sUSD depositado.

Isso abriu caminho para os chamados "ataques de doação", nos quais um invasor transfere ativos diretamente para um cofre para distorcer as métricas contábeis. Após enviar tokens Fulcrum sUSD para o cofre Yearn TUSD, os perpetradores conseguiram inflar artificialmente o preço das ações reportado pelo cofre.

O problema foi agravado por uma função de rebalanceamento que retira todos os ativos subjacentes em sUSD, um ativo não incluído nos cálculos do preço das ações do cofre. Quando o rebalanceamento começou, o preço das ações do cofre despencou, criando um "choque de preços".

De acordo com o snapshot do Etherscan da PeckShield Alert, o atacante executou empréstimos relâmpago sequenciais, primeiro tomando emprestado grandes quantidades de TUSD e sUSD sem garantia prévia. Em seguida, depositou sUSD para cunhar tokens Fulcrum sUSD antes de depositar TUSD no cofre de TUSD da Yearn. 

Nessa fase, todos os ativos subjacentes do cofre TUSD consistiam em tokens sUSD da Fulcrum. O explorador retirou fundos do cofre TUSD do Yearn e acionou a função de rebalanceamento, forçando a Fulcrum a resgatar tudo em sUSD. Como o sUSD foi excluído dos cálculos do preço das ações, a contabilidade do cofre entrou em colapso, levando o preço das ações a zero.

O atacante então transferiu uma pequena quantidade de TUSD de volta para o cofre, fazendo com que o preço das ações caísse drasticamente, e cunhou uma quantidade enorme de tokens Yearn TUSD a um custo mínimo. Ele finalmente lucrou vendendo os tokens Yearn TUSD adquiridos a baixo custo em pools da Curve,tracvalor dos provedores de liquidez antes de quitar os empréstimos relâmpago.

Yearn Finance recapitula vulnerabilidade de 2023, pesquisador relata

O pesquisador Li descobriu que a exploração era semelhante a um ataque realizado em 2023, que causou prejuízos superiores a US$ 10 milhões. Otracimutável yUSDT, alvo dessedent anterior, foi implementado há mais de três anos, nos primórdios do iLearn, quando o falecido Andre Cronje liderava o protocolo.

Só para acrescentar, este é exatamente o mesmo vetor de ataque da última vez: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

-Weilin (William) Li (@ hklst4r) 16 de dezembro de 2025

Analistas de segurança pessimistas já haviam emitido um alerta sobre a vulnerabilidade nas redes sociais antes da exploração, mas como ostracinteligentes imutáveis não podem ser corrigidos ou pausados após a implantação, isso era inevitável.

 “iearn finance, Smoothswap, tomem cuidado. Este endereço 0x5bac20…ed8e9cdfe0 recebeu 10 ETH da Tornado e está acionandotraccom empréstimos relâmpago usando seus endereços”, escreveu Nikiti Kirillov, da PS.

Um Yearn, conhecido como storming0x, admitiu que o ataque ocorreu e garantiu aos usuários que seus contratos atuais trac seguros. No entanto, observadores do Rekt News revelaram DeFi levou 1.156 dias para detectar uma vulnerabilidade multimilionária.

Otracdo token Yearn yUSDT gerava rendimento a partir de uma cesta de posições rentáveis, incluindo depósitos de USDT na Aave, Compound, dYdX e Fulcrum da BzX. Desde o lançamento, no entanto, o yUSDT continha um erro de copiar e colar que fazia referência ao endereço USDC da Fulcrum em vez dotracUSDT da Fulcrum. 

Usando apenas 10.000 USDT, hackers conseguiram cunhar aproximadamente 1,2 quatrilhão de yUSDT, drenando valor do sistema antes de sacar cash.

O incidente com a Yearn dent menos de uma semana depois de a Cryptopolitan ter noticiado um desvio de US$ 2,7 milhões de um contrato antigo trac à Ribbon Finance, a versão renomeada da Aevo. Esse ataque envolveu interações repetidas com um contrato de administração de proxy trac endereço 0x9D7b…8ae6B76. O atacante invocou funções como transferOwnership e setImplementation para manipular proxies de feed de preços por meio de chamadas de delegação.

Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.