La bóveda heredada de Yearn Finance V1, Yearn TUSD, fue hackeada

Una versión heredada del protocolo de finanzas descentralizadas Yearn ha sufrido un ataque, reavivando las preocupaciones sobretracinteligentes mal configurados e inmutables que han mantenido fondos en la red años después de haber sido obsoletos.

En una publicación de X el miércoles, la firma de seguridad PeckShield informó que el hackeo de YearnFinanceV1 provocó pérdidas de aproximadamente $300,000. Los fondos robados se intercambiaron por 103 Ether y ahora se encuentran en la dirección 0x0F21…4066, según imágenes de Etherscan compartidas por la firma.

#PeckShieldAlert YearnFinanceV1 @yearnfi ha sufrido una vulnerabilidad que ha provocado una pérdida total de aproximadamente $300 000.

El explotador ha intercambiado los fondos robados por 103 $ETH, que ahora se encuentran en la dirección: 0x0F21…4066. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 17 de diciembre de 2025

Los hackers aprovecharon una bóveda obsoleta de Yearn vinculada a TrueUSD, conocida como "bóveda iearn TUSD", que aún se implementa en Ether a pesar de haber sido reemplazada por versiones más recientes. Una falla de configuración permitió a los atacantes manipular los precios de las acciones mediante varias transacciones.

Una bóveda mal configurada de Yearn Finance provocó una manipulación de precios 

Según un análisis del investigador de criptomonedas seudónimo y ex alumno de la Universidad de Ciencia y Tecnología de China, Weilin Li, la bóveda configuró una de sus estrategias como una bóveda sUSD de Fulcrum y calculó el precio de sus acciones utilizando solo el saldo de sUSD depositado.

Esto dio lugar a los llamados "ataques de donación", en los que un atacante transfiere activos directamente a una bóveda para distorsionar las métricas contables. Tras enviar tokens sUSD de Fulcrum a la bóveda TUSD de Yearn, los perpetradores lograron inflar artificialmente el precio de las acciones reportado en la bóveda.

El problema se agravó por una función de reequilibrio que retira todos los activos subyacentes en sUSD, un activo no incluido en los cálculos del precio de las acciones de la bóveda. Cuando comenzó el reequilibrio, el precio de las acciones de la bóveda se desplomó y generó un shock de precios.

Según la instantánea de Etherscan de PeckShield Alert, el atacante ejecutó préstamos flash secuenciados tomando prestadas grandes cantidades de TUSD y sUSD sin garantía inicial. Posteriormente, depositó sUSD para acuñar tokens sUSD de Fulcrum antes de depositar TUSD en la bóveda de TUSD de Yearn. 

En ese momento, todos los activos subyacentes de la bóveda de TUSD consistían en tokens sUSD de Fulcrum. El atacante se retiró de la bóveda de TUSD de Yearn e invocó la función de reequilibrio, obligando a Fulcrum a canjear todo por sUSD. Debido a que sUSD se excluyó del cálculo del precio de las acciones, la contabilidad de la bóveda colapsó, llevando el precio de las acciones a cero.

El atacante transfirió entonces una pequeña cantidad de TUSD a la bóveda, lo que desplomó el precio de las acciones a niveles extremadamente bajos y acuñó una cantidad descomunal de tokens Yearn TUSD a un coste mínimo. Finalmente, obtuvo ganancias vendiendo los tokens Yearn TUSD adquiridos a bajo precio en los pools de Curve,tracvalor de los proveedores de liquidez antes de reembolsar los préstamos flash.

Yearn Finance resume la vulnerabilidad de 2023, relata un investigador

El investigador Li descubrió que el exploit era similar a un ataque perpetrado en 2023, que provocó pérdidas superiores a los 10 millones de dólares. Eltracinmutable de yUSDT, objetivo de esedent anterior, se implementó hace más de tres años, durante los inicios de iearn, cuando el difunto Andre Cronje dirigía el protocolo.

Solo para agregar, este es exactamente el mismo vector de ataque que la última vez: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

– Weilin (William) Li (@ hklst4r) 16 de diciembre de 2025

Los analistas de seguridad pesimistas habían emitido una advertencia sobre la vulnerabilidad en las redes sociales antes del exploit, pero comotracinteligentes inmutables no se pueden parchar ni pausar una vez implementados, era inevitable.

 “Aprende finanzas, Smoothswap, tengan cuidado. Esta dirección 0x5bac20…ed8e9cdfe0 obtuvo 10 ETH de Tornado y está implementandotraccon préstamos rápidos usando sus direcciones”, escribió Nikiti Kirillov de PS.

Un de Yearn, conocido como storming0x, admitió el ataque y aseguró a los usuarios que sus contratos actualestracseguros. Sin embargo, los analistas de Rekt News revelaron tardó 1156 días DeFi en detectar una vulnerabilidad multimillonaria.

Eltracdel token yUSDT de Yearn generó rendimientos a partir de una canasta de posiciones con rendimiento, incluyendo depósitos en USDT en Aave, Compound, dYdX y Fulcrum de BzX. Sin embargo, desde su lanzamiento, yUSDT contenía un error de copia y pegado que hacía referencia a la dirección USDC de Fulcrum en lugar deltracUSDT de Fulcrum. 

Usando solo 10.000 USDT, los piratas informáticos pudieron acuñar aproximadamente 1,2 billones de yUSDT, drenando valor del sistema antes de cash.

Eldent se produce menos de una semana después de que Cryptopolitan informara sobre un desvío de 2,7 millones de dólares de un antiguo contratotraca Ribbon Finance, la versión renombrada de Aevo. Ese ataque implicó interacciones repetidas con untracen la dirección 0x9D7b…8ae6B76. El atacante invocó funciones como transferOwnership y setImplementation para manipular proxies de alimentación de precios mediante llamadas de delegado.