Yield Yak segue Gitcoin em mais um ataque de drenagem de carteiras

A empresa de cibersegurança blockchain Blockaid detectou um ataque ao front-end do site da plataforma de finanças descentralizadas (DeFi) Yield Yak em 24 de junho de 2026. Segundo a Blockaid, o front-end do site da Yield Yak foi comprometido por scripts maliciosos que drenavam carteiras. Este é o segundo ataque desse tipo em poucos dias contra uma grande plataforma de exchange de criptomoedas e representa o mais recente exemplo da onda de ataques a front-ends direcionados a grandes plataformas do setor.

De acordo com o processo de detecção da Blockaid, o subdomínio vote.yieldyak.com foi comprometido por um código de um software chamado “Eleven drainer”. O Wallet drainer é um tipo de script malicioso que engana os usuários, levando-os a enviar seus ativos digitais para um atacante por meio de transações aprovadas pelos próprios usuários. O código malicioso força a aprovação de ações ou envia ativos para um atacante no exato momento em que os usuários conectam suas carteiras, muitas vezes antes mesmo que percebam o que está acontecendo. Nem a Blockaid nem a Yield Yak divulgaram informações sobre o valor das perdas sofridas devido ao ataque até o momento da publicação desta notícia.

O atacante usa um manual classic de táticas

O ataque ao Yield Yak se assemelha à vulnerabilidade detectada no Gitcoin, uma plataforma de financiamento coletivo de código aberto, há poucos dias. De acordo com a Blockaid, em 21 de junho, o domínio files.gitcoin.co, um subdomínio do Gitcoin, continha o mesmo código malicioso do Eleven e alertou os usuários para se manterem afastados da plataforma enquanto ela estava sendo investigada. A Blockaid associou diretamente os dois ataques, observando que o ataque ao Yield Yak "segue o incidente de ontemdent Gitcoin, que operava de maneira semelhante".

🚨O sistema da Blockaid identificoudentataque front-end em yieldyak[.]com realizado por @yieldyak_. O subdomínio do site – vote[.]yieldyak[.]com – agora contém o código do Onze Drainer.

Isso ocorre após o incidente de ontemdent @gitcoin , que operou de maneira semelhante. pic.twitter.com/YFmWEYfa7D

— Blockaid (@blockaid_) 24 de junho de 2026

Em ambos os casos, os subdomínios foram comprometidos em vez das interfaces principais do aplicativo. O produto principal do Yield Yak, um protocolo de yield farming com juros compostos automáticos na Avalanche, roda no domínio principal. O subdomínio de votação comprometido parece ser um ponto de entrada secundário, mas qualquer pessoa que o acessasse correria o risco de ter sua carteira esvaziada.

A falta de defide perdas nem sempre significa consequências mínimas. Vulnerabilidades na interface do usuário geralmente passam por um processo de investigação que dura horas ou até dias, durante o qual as equipes de segurança identificamdententre carteiras e verificam se os usuários executaram transações maliciosas. Em outros casos de drenagem de fundos neste ano, as perdas variaram de alguns milhares a milhões de dólares, dependendo do número de pessoas que conectaram as carteiras até que o código malicioso fosse removido. Por exemplo, em um dos incidentes monitorados pela Blockaiddenthackers roubaram cerca de US$ 3,2 milhões de 86 carteiras Safe, explorando uma vulnerabilidade em um módulo de terceiros em maio. O segundo exemplo é a exploração da vulnerabilidade do provedor de liquidez TrustedVolumes, que resultou em perdas de US$ 5,9 milhões.

Aumento repentino de ataques front-end

Os ataques mencionados contra Yield Yak e Gitcoin fazem parte de uma tendência maior que abalou a comunidade de criptomoedas este ano. O ataque front-end, no qual um invasor explora o site de um projeto sem afetar ostracinteligentes, aumentou em frequência nas principais plataformas DeFi .

No início do ano, OpenEden, Curvance e Maple Finance sofreram ataques de negação de serviço (Downer Attacks) em uma única semana de fevereiro. Esses ataques utilizaram um conjunto de ferramentas diferente, chamado AngelFerno, mas seguiram o mesmo método: obter acesso à infraestrutura web de um projeto, inserir código que sequestra as conexões da carteira e aguardar a interação dos usuários.

A Blockaid documentou um padrão ainda mais agressivo em abril de 2026. Após ataques de grande repercussão no Drift Protocol, KelpDAOe outras plataformas, operadores de roubo de criptomoedas criaram domínios falsos em questão de horas para interceptar usuários em pânico que buscavam maneiras de revogar aprovações de tokens. A empresa descreveu abril de 2026 como "o pior mês para roubo de criptomoedas já registrado", citando mais de US$ 629 milhões perdidos em mais de 20dent.

O que os usuários do Yield Yak devem saber

Yield Yak é um protocolo DeFi na Avalanche que acumula automaticamente recompensas de yield farming e opera um agregador de exchanges descentralizadas, de acordo com sua listagem na Alchemy. Usuários que depositaram ativos por meio dostracinteligentes da plataforma principal não são diretamente afetados por uma violação da interface, já que ostracsubjacentes permanecem inalterados. O risco se aplica a qualquer pessoa que tenha visitado o subdomínio comprometido e conectado uma carteira ou assinado uma transação.

Até o momento da publicação, nem a Yield Yak nem a Gitcoin emitiram declarações públicas sobre o andamento da correção dos respectivosdent. Nenhuma empresa de segurança ou investigador de blockchain relatou publicamente perdas confirmadas relacionadas à violação da Yield Yak, e atualmente não há evidências on-chain que indiquem a dimensão de qualquer possível roubo. A Blockaid aconselhou os usuários a não interagirem com os sites afetados, pois o problema está sendo investigado e corrigido.

Usuários que suspeitarem ter interagido com vote.yieldyak.com devem revogar quaisquer aprovações de tokens concedidas durante a sessão usando uma ferramenta confiável e monitorar suas carteiras em busca de transferências não autorizadas.