Odaily Star Planet Daily noticiou que a Yearn Finance publicou um relatório detalhado pós-incidente sobre o ataque de exploração ao yETH ocorrido na semana passada, apontando que existia um erro numérico em três fases no seu pool de liquidez stableswap legado, o que permitiu ao atacante “cunhar infinitamente” tokens LP e roubar cerca de 9 milhões de dólares em ativos desse pool. A Yearn confirmou que, com a ajuda das equipas Plume e Dinero, conseguiu recuperar com sucesso 857,49 pxETH, o que corresponde a cerca de um quarto dos ativos roubados. A equipa planeia distribuir os fundos recuperados proporcionalmente pelos depositantes do yETH. O protocolo de finanças descentralizadas indicou que o ataque à vulnerabilidade ocorreu no bloco 23.914.086, em 30 de novembro de 2025, tendo o atacante, através de uma sequência complexa de operações, forçado o analisador interno do pool de liquidez

PANews, 8 de dezembro: Segundo discussões na plataforma X, vários programadores consideram que, embora o ataque ao yETH tenha sido atribuído à descoberta através de fuzzing, o verdadeiro percurso do ataque é complexo e pode ter envolvido a amplificação progressiva do impacto após a identificação de uma vulnerabilidade original explorável. O fundador da Curve, Michael

Segundo notícia da Jinse Finance, de acordo com monitorização da SlowMist, a 1 de dezembro, o protocolo de finanças descentralizadas yearn foi alvo de um ataque informático, resultando numa perda de cerca de 9 milhões de dólares. A equipa de segurança da SlowMist analisou o incidente e confirmou as causas principais: A vulnerabilidade teve origem na lógica da função calcsupply, utilizada para calcular o fornecimento no contrato do pool de troca ponderada de stablecoins yETH da Yearn. Devido à utilização de operações matemáticas inseguras, esta função permitia overflows e erros de arredondamento durante o cálculo, o que resultou em desvios significativos no produto entre o novo fornecimento e o saldo virtual. O atacante explorou esta falha para manipular a liquidez para um valor específico e cunhar em excesso tokens de liquidez do pool (LP tokens), obtendo assim lucros ilegais. Recomenda-se o reforço dos testes a cenários limite e a adoção de mecanismos de operações aritméticas devidamente auditados para evitar vulnerabilidades semelhantes.

PANews 1 de dezembro, a Yearn tweetou que o ataque relacionado ao yETH não afetou o produto yCRV.

PANews 1 de dezembro, de acordo com o PeckShieldAlert na plataforma X, a Yearn Finance sofreu um ataque, onde hackers esgotaram o fundo através da cunhagem infinita de yETH, resultando em uma perda de cerca de 9 milhões de dólares. Desses, cerca de 1000 ETH (aproximadamente 3 milhões de dólares) foram transferidos para o Tornado Cash, e o endereço do atacante ainda detém ativos encriptados no valor de aproximadamente 6 milhões de dólares.

PANews 1 de dezembro, segundo o The Block, o produto de agregação de stake de Token yETH da Yearn Finance foi atacado, com o atacante explorando uma vulnerabilidade para cunhar quase infinitamente yETH, esgotando os ativos do pool em uma única transação. Os dados na cadeia mostram que o atacante, em seguida, transferiu cerca de 1000 ETH (aproximadamente 3 milhões de dólares) para o protocolo de mistura Tornado Cash. Vários contratos utilizados para o ataque se autodestroem após a transação. Atualmente, a escala exata das perdas ainda é desconhecida, e a Yearn está investigando o incidente, suas versões V2 e V3.