Yearn Finance detalla el ataque al exploit de yETH por 9 millones de dólares, confirma la recuperación parcial de activos y publica un plan de reparación

Odaily星球日报 informa que Yearn Finance ha publicado un informe detallado posterior al ataque de la semana pasada al yETH, señalando que existía un error numérico en tres fases en su pool de liquidez stableswap heredado. Este error permitió a los atacantes “acuñar ilimitadamente” tokens LP y robar aproximadamente 9 millones de dólares en activos de dicho pool. Yearn confirma que, con la ayuda de los equipos de Plume y Dinero, ha logrado recuperar 857,49 pxETH, lo que representa aproximadamente una cuarta parte de los activos robados. El equipo planea distribuir los fondos recuperados proporcionalmente entre los ahorradores de yETH. El protocolo de finanzas descentralizadas indicó que el ataque tuvo lugar en el bloque 23.914.086 el 30 de noviembre de 2025, donde el atacante, mediante una secuencia de operaciones compleja, forzó al parser interno del pool de liquidez a entrar en un estado divergente y finalmente desencadenar un desbordamiento aritmético negativo. El objetivo del ataque eran un pool stableswap personalizado que agregaba varios tokens de staking líquido (LSTs), así como un pool yETH/WETH en Curve. Yearn enfatiza que sus bóvedas v2 y v3 y otros productos no se han visto afectados. Para resolver estos problemas, Yearn ha hecho público un plan de reparación que incluye la implementación de comprobaciones de dominio explícitas en el parser, el reemplazo de aritmética insegura por aritmética verificada en las partes críticas, y la desactivación de la lógica de arranque tras la puesta en marcha del pool.