Yield Yak sigue los pasos de Gitcoin en el último ataque que vacía las billeteras

La empresa de ciberseguridad blockchain Blockaid detectó un ataque informático en la interfaz de usuario del sitio web de la plataforma de agregación de rendimientos de finanzas descentralizadas (DeFi), Yield Yak, el 24 de junio de 2026. Según Blockaid, la interfaz de usuario del sitio de Yield Yak había sido comprometida por scripts maliciosos destinados a vaciar las billeteras. Este es el segundo ataque de esta naturaleza en pocos días contra una importante plataforma de intercambio de criptomonedas y se suma a la reciente tendencia de ataques a la interfaz de usuario dirigidos a las principales plataformas de criptomonedas.

Según el proceso de detección de Blockaid, el subdominio vote.yieldyak.com fue comprometido con código de un software llamado "Eleven Drainer". Este tipo de script malicioso engaña a los usuarios para que envíen sus activos digitales a un atacante mediante transacciones aprobadas por ellos. El código malicioso fuerza la aprobación de acciones o envía activos al atacante en el mismo instante en que los usuarios conectan sus billeteras, a menudo antes incluso de que se den cuenta de lo que están haciendo. Ni Blockaid ni Yield Yak han proporcionado información sobre el número de pérdidas sufridas a causa del ataque hasta la fecha de publicación.

El atacante utiliza un manual de jugadas classic

El ataque a Yield Yak se asemeja a la vulnerabilidad detectada en Gitcoin, una plataforma de financiación de código abierto, hace apenas unos días. Según Blockaid, el 21 de junio, files.gitcoin.co, un subdominio de Gitcoin, contenía el mismo código malicioso de Eleven y advertía a los usuarios que se mantuvieran alejados de la plataforma, ya que estaba siendo analizada. Blockaid relacionó directamente ambos ataques, señalando que el ataque a Yield Yak «sigue al incidente de ayerdent Gitcoin, que operó de manera similar».

🚨El sistema de Blockaid hadentun ataque de front-end contra yieldyak[.]com por parte de @yieldyak_. El subdominio del sitio, vote[.]yieldyak[.]com, ahora contiene código de eleven drainer.

de ayerdent en @gitcoin , que operó de forma similar. pic.twitter.com/YFmWEYfa7D

— Blockaid (@blockaid_) 24 de junio de 2026

En ambos casos, se vieron comprometidos los subdominios en lugar de las interfaces de la aplicación principal. El producto principal de Yield Yak, un protocolo de yield farming con capitalización automática en Avalanche, se ejecuta en el dominio principal. El subdominio de votación comprometido parece un punto de entrada secundario, pero cualquiera que accediera a él habría corrido el riesgo de que le vaciaran su billetera.

La falta de defino siempre significa consecuencias mínimas. Las vulnerabilidades de front-end suelen pasar por un proceso de investigación de horas o incluso días en el que los equipos de seguridad identificandententre monederos y comprueban si los usuarios realizaron transacciones maliciosas. En otros casos de drenamiento de este año, las pérdidas oscilaron entre varios miles de dólares y millones de dólares según el número de personas que conectaron monederos hasta que se eliminó el código malicioso. Por ejemplo, en uno de los incidentes monitoreados por Blockaiddentlos hackers robaron alrededor de 3,2 millones de dólares de 86 monederos Safe utilizando una vulnerabilidad de un módulo de terceros en mayo. El segundo ejemplo es la explotación del proveedor de liquidez TrustedVolumes que provocó pérdidas de 5,9 millones de dólares.

Aumento repentino de los ataques en el front-end

Los hackeos a Yield Yak y Gitcoin mencionados forman parte de una tendencia más amplia que ha sacudido a la comunidad de criptomonedas este año. El ataque front-end, en el que un atacante explota el sitio web de un proyecto sin afectar lostracinteligentes, ha aumentado en frecuencia en las principales plataformas DeFi .

A principios de año, OpenEden, Curvance y Maple Finance sufrieron ataques de interfaz en una sola semana de febrero. Estos ataques utilizaron un conjunto de herramientas de extracción de datos diferente, llamado AngelFerno, pero siguieron el mismo método: obtener acceso a la infraestructura web de un proyecto, insertar código que intercepta las conexiones de las billeteras y esperar a que los usuarios interactúen.

Blockaid documentó un patrón aún más agresivo en abril de 2026. Tras sonados ataques a Drift Protocol, KelpDAOy otras plataformas, los operadores de robo de criptomonedas crearon dominios similares en cuestión de horas para interceptar a usuarios aterrorizados que buscaban formas de revocar la aprobación de sus tokens. La firma describió abril de 2026 como "el peor mes registrado para el robo de criptomonedas", citando más de 629 millones de dólares robados en más de 20dent.

Lo que los usuarios de Yield Yak deben saber

Yield Yak es un protocolo DeFi en Avalanche que automatiza la capitalización de las recompensas de yield farming y opera un agregador de intercambios descentralizados, según su listado en Alchemy. Los usuarios que depositaron activos a través de lostracinteligentes de la plataforma principal no se ven directamente afectados por una vulneración de la interfaz, ya que lostracsubyacentes permanecen sin cambios. El riesgo afecta a cualquier persona que haya visitado el subdominio comprometido y conectado una billetera o firmado una transacción.

Al momento de la publicación, ni Yield Yak ni Gitcoin habían emitido comunicados públicos sobre el estado de la solución a sus respectivosdent. Ninguna empresa de seguridad ni investigador de blockchain ha reportado públicamente pérdidas confirmadas relacionadas con la vulneración de Yield Yak, y actualmente no existe evidencia en la cadena de bloques que indique la magnitud de un posible robo. Blockaid recomendó a los usuarios no interactuar con los sitios web afectados mientras se investiga y soluciona el problema.

Los usuarios que sospechen haber interactuado con vote.yieldyak.com deben revocar cualquier aprobación de tokens otorgada durante la sesión utilizando una herramienta de confianza y monitorear sus billeteras para detectar transferencias no autorizadas.