Odaily星球日报 informó que Yearn Finance publicó un informe detallado posterior sobre el ataque al exploit de yETH de la semana pasada, señalando que existía un error numérico en tres fases en su pool de liquidez stableswap heredado, lo que permitió al atacante "acuñar LP tokens de forma ilimitada" y robar aproximadamente 9 millones de dólares en activos de dicho pool. Yearn confirmó que, con la ayuda de los equipos de Plume y Dinero, logró recuperar con éxito 857,49 pxETH, lo que representa alrededor de una cuarta parte de los activos robados. El equipo planea distribuir los fondos recuperados proporcionalmente entre los depositantes de yETH. Este protocolo de finanzas descentralizadas indicó que el ataque al exploit ocurrió en el bloque 23.914.086 del 30 de noviembre de 2025, donde el atacante, mediante una secuencia compleja de operaciones, forzó al parser interno del pool de liquidez...

PANews, 8 de diciembre: Según discusiones en la plataforma X, varios desarrolladores consideran que, aunque el ataque a yETH se atribuyó al descubrimiento mediante fuzzing, la ruta de ataque real es compleja y es posible que, tras identificar una vulnerabilidad original explotable, el atacante fue ampliando gradualmente el daño. El fundador de Curve, Michael

Según informa Jinse Finance, según el monitoreo de SlowMist, el 1 de diciembre, el protocolo de finanzas descentralizadas yearn sufrió un ataque de hackers, causando pérdidas de aproximadamente 9 millones de dólares. El equipo de seguridad de SlowMist analizó el incidente y confirmó la causa raíz como sigue: La vulnerabilidad se originó en la lógica de la función calcsupply, utilizada para calcular el suministro en el contrato del pool de intercambio de stablecoins ponderadas (Weighted Stableswap Pool) de Yearn yETH. Debido a operaciones matemáticas inseguras, esta función permitía desbordamientos y errores de redondeo durante el cálculo, lo que resultaba en desviaciones significativas en el cálculo del producto entre el nuevo suministro y el saldo virtual. Los atacantes aprovecharon este defecto para manipular la liquidez a valores específicos y acuñar en exceso tokens del pool de liquidez (LP), obteniendo así beneficios ilegales. Se recomienda reforzar las pruebas de escenarios límite y emplear mecanismos de operaciones aritméticas validados y seguros para prevenir incidentes similares en otros contratos.

PANews 1 de diciembre, Yearn tuiteó que el ataque relacionado con yETH no afectó al producto yCRV.

PANews 1 de diciembre, según PeckShieldAlert en la plataforma X, Yearn Finance ha sido atacado, el Hacker agotó el fondo mediante la acuñación infinita de yETH, causando una pérdida de aproximadamente 9 millones de dólares. Alrededor de 1000 monedas de ETH (equivalentes a 3 millones de dólares) fueron transferidas a Tornado Cash, y la dirección del atacante aún posee activos encriptados por un valor aproximado de 6 millones de dólares.

PANews 1 de diciembre, según informes de The Block, el producto de tokens de staking agregado yETH de Yearn Finance fue atacado, los atacantes acuñaron casi infinitamente yETH a través de una vulnerabilidad, agotando los activos del pool en una sola transacción. Los datos on-chain muestran que los atacantes luego transfirieron aproximadamente 1000 ETH (alrededor de 3 millones de dólares) a el protocolo de mezcla Tornado Cash. Varios contratos utilizados para el ataque se autodestruyeron después de la transacción. Actualmente, la magnitud de las pérdidas específicas aún no está clara, Yearn ha declarado que está investigando el incidente, su V2 y V3.