Yearn Finance detalla el ataque al exploit de yETH por 9 millones de dólares, confirma la recuperación parcial de activos y publica un plan de reparación

ChainCatcher Noticias, según informó The Block, HumidiFiYearn Finance publicó un informe detallado posterior al ataque de vulnerabilidad de yETH ocurrido la semana pasada, señalando que existía un error numérico de tres etapas en su pool de liquidez stableswap heredado, lo que permitió a los atacantes "acuñar ilimitadamente" tokens LP y robar aproximadamente 9 millones de dólares en activos de dicho pool de liquidez.

Yearn confirmó que, con la ayuda de los equipos de Plume y Dinero, logró recuperar 857,49 pxETH, lo que representa aproximadamente una cuarta parte de los activos robados. El equipo planea distribuir los fondos recuperados proporcionalmente entre los depositantes de yETH.

Este protocolo de finanzas descentralizadas indicó que el ataque ocurrió en el bloque 23.914.086, el 30 de noviembre de 2025, donde el atacante, mediante una secuencia compleja de operaciones, forzó al parser interno del pool de liquidez a entrar en un estado divergente y finalmente provocó un desbordamiento aritmético. El objetivo del ataque era un pool stableswap personalizado que agregaba varios tokens de staking líquido (LSTs), así como un pool Curve yETH/WETH.

Yearn enfatizó que sus bóvedas v2 y v3 y otros productos no se vieron afectados. Para abordar estos problemas, Yearn publicó un plan de reparación que incluye la implementación de comprobaciones de dominio explícitas en el parser, reemplazar la aritmética insegura por aritmética verificada en partes críticas y deshabilitar la lógica de arranque después del lanzamiento del pool.