Análisis completo del robo de 9 millones de dólares a Yearn: cómo un bug en tres fases permitió la "acuñación infinita"

【Bitpush】Por fin Yearn Finance ha publicado el informe completo del incidente de la semana pasada, cuando yETH fue atacado.

Resumiendo, tenían un bug de valores en tres fases escondido en una vieja pool stableswap: el atacante aprovechó esto para realizar una “acuñación infinita de tokens LP” y se llevó del pool unos 9 millones de dólares. El ataque ocurrió el 30 de noviembre, concretamente en el bloque 23914086.

Pero hay buenas noticias. Yearn, junto con los equipos de Plume y Dinero, lograron recuperar 857,49 pxETH, aproximadamente una cuarta parte de los activos robados. Este dinero será devuelto proporcionalmente a los usuarios que tenían depósitos en yETH.

A nivel técnico, la estrategia del atacante fue bastante ingeniosa: mediante una cadena de operaciones complejas, forzó al parser interno del pool a un estado divergente, provocando finalmente un desbordamiento aritmético por debajo. El objetivo fueron la pool stableswap personalizada que agregaba varios LST y una pool Curve yETH/WETH. El equipo recalca que los vaults v2 y v3 y otros productos no se vieron afectados.

La solución ya está en marcha: añadir comprobaciones de dominio claras al parser, reemplazar toda aritmética insegura en las partes clave por versiones controladas y, como medida extra, deshabilitar la lógica de bootstrap justo después del lanzamiento del pool. En definitiva, una lección costosa pero aprendida.