Yearn Finance detalha ataque ao yETH com vulnerabilidade de 9 milhões de dólares, confirma recuperação parcial de ativos e divulga plano de correção

Odaily Star Planet Diário noticiou que a Yearn Finance publicou um relatório pormenorizado sobre o incidente de exploração da vulnerabilidade yETH ocorrido na semana passada, apontando que existia um erro numérico em três fases num dos seus pools de liquidez stableswap herdados, o que permitiu ao atacante “cunhar ilimitadamente” tokens LP e roubar cerca de 9 milhões de dólares em ativos desse pool de liquidez. A Yearn confirmou que, com a assistência das equipas Plume e Dinero, conseguiu recuperar com sucesso 857,49 pxETH, o que equivale a cerca de um quarto dos ativos roubados. A equipa planeia distribuir os fundos recuperados proporcionalmente entre os depositantes do yETH. O protocolo de finanças descentralizadas indicou que o ataque ocorreu no bloco 23.914.086, a 30 de novembro de 2025, onde o invasor, através de uma série de operações complexas, forçou o analisador interno do pool de liquidez a entrar num estado divergente, acabando por causar um underflow aritmético. O alvo do ataque foram um pool stableswap personalizado que agrega vários tokens de liquidez staking (LSTs), bem como um pool yETH/WETH da Curve. A Yearn salientou que os seus cofres v2 e v3, assim como outros produtos, não foram afetados. Para resolver estes problemas, a Yearn divulgou um plano de correções, incluindo a implementação de verificações explícitas de domínio no analisador, a substituição de aritmética não segura por aritmética verificada nas partes críticas e a desativação da lógica de arranque após o lançamento do pool.