El 1 de diciembre, el protocolo de finanzas descentralizadas Yearn Finance sufrió supuestamente un ataque, en el que los hackers vaciaron su pool de liquidez al acuñar una cantidad ilimitada de yETH.
Según la firma de seguridad PeckShield, las pérdidas totales derivadas de este incidente se estiman en torno a los 9 millones de dólares.
Los datos en blockchain muestran que el atacante ya ha transferido 1 000 ETH (aproximadamente 3 millones de dólares) al mezclador de criptomonedas Tornado Cash, mientras que la dirección del atacante aún conserva unos 6 millones de dólares en criptoactivos.
01 Resumen del incidente: el pool de yETH se vacía rápidamente
El 1 de diciembre, el producto Yearn Ether (yETH) de Yearn Finance sufrió un ataque importante. Este producto es un token índice que agrupa varios de los principales tokens de staking líquido (LST).
El atacante aprovechó una vulnerabilidad cuidadosamente diseñada para acuñar casi ilimitados tokens yETH en una sola transacción, vaciando rápidamente todo el pool de liquidez.
Los datos en blockchain indican que el ataque involucró varios contratos inteligentes recién desplegados, algunos de los cuales se autodestruyeron inmediatamente después de la transacción, lo que dificulta la investigación.
Tras el incidente, Yearn Finance publicó un comunicado en X: "Estamos investigando el evento relacionado con el pool yETH LST StableSwap. Los vaults V2 y V3 de Yearn no se han visto afectados."
02 Método del ataque: acuñación ilimitada y transferencias de fondos
Según el usuario de X Togbe, el ataque fue detectado mientras se monitorizaban grandes transferencias.
Togbe explicó: "Las transferencias netas muestran que se sobreacuñó yETH, lo que permitió al atacante drenar el pool y obtener un beneficio de unos 1 000 ETH."
Durante el ataque, se perdió algo de ETH por razones desconocidas, pero el atacante logró obtener beneficios.
Tras asegurar los fondos, el atacante transfirió 1 000 ETH (valorados en unos 3 millones de dólares) a Tornado Cash, un protocolo de privacidad descentralizado que suele utilizarse para ocultar el rastro de los fondos.
Los datos de PeckShield muestran que la dirección del atacante aún mantiene aproximadamente 6 millones de dólares en criptoactivos.
03 Tornado Cash: herramienta de privacidad y controversia sobre lavado de dinero
Tornado Cash es un protocolo de privacidad descentralizado basado en Ethereum que utiliza tecnología de pruebas de conocimiento cero para ayudar a los usuarios a ocultar los detalles de sus transacciones.
El protocolo ofrece protección de privacidad al romper los vínculos en la cadena entre las direcciones de depósito y retiro.
Sin embargo, esta característica de privacidad también ha convertido a Tornado Cash en una herramienta preferida por los hackers para el lavado de fondos.
En agosto de 2022, el Departamento del Tesoro de EE. UU. añadió Tornado Cash a su lista de sanciones, alegando que el grupo de hackers Lazarus había utilizado la plataforma para lavar cientos de millones de dólares desde 2019.
En marzo de 2025, Tornado Cash fue finalmente retirado de la lista de sanciones del Tesoro, un hecho considerado una gran victoria para la industria blockchain.
04 Historial de seguridad de Yearn Finance
No es la primera vez que Yearn Finance experimenta un incidente de seguridad.
En 2021, el protocolo sufrió un ataque que afectó a su vault yDAI, ocasionando pérdidas de 11 millones de dólares, de los cuales los hackers obtuvieron finalmente 2,8 millones de beneficio.
En diciembre de 2023, un error de script provocó una pérdida del 63 % en una posición de vault, aunque los fondos de los usuarios no se vieron afectados.
Yearn Finance se lanzó en 2020, fundado por Andre Cronje, quien abandonó el proyecto dos años después.
05 Impacto en el mercado y caída generalizada de las criptomonedas
El ataque se produjo en medio de una fuerte caída del mercado de criptomonedas.
En la mañana del 1 de diciembre, Bitcoin cayó brevemente por debajo de los 86 000 dólares, perdiendo más de un 5 % en un solo día; Ethereum también perdió el nivel de los 2 900 dólares.
Según datos de Coinglass, más de 500 millones de dólares en contratos de criptomonedas fueron liquidados en la red en 24 horas, afectando a 177 200 traders.
Este descenso del mercado podría estar relacionado con rumores sobre la posible dimisión del presidente de la Reserva Federal, Jerome Powell, aunque los principales medios internacionales no han informado al respecto y los analistas consideran que el rumor probablemente es falso.
06 Respuesta de la industria y perspectivas futuras
Cada incidente de hacking plantea nuevas preguntas sobre la seguridad de las DeFi.
En el caso de Tornado Cash, el Departamento de Justicia de EE. UU. presentó cargos penales en agosto de 2023 contra los cofundadores Roman Storm y Roman Semenov, acusándolos de conspiración para lavar dinero, operar un negocio de transmisión de dinero sin licencia y violar las regulaciones de sanciones.
Las organizaciones del sector han respondido, y Coin Center afirmó: "Tratar el desarrollo de software de código abierto como un delito supone un golpe para la innovación tecnológica."
Para los inversores institucionales, el caso Tornado Cash demuestra que los reguladores ahora esperan una actitud proactiva en materia de cumplimiento, no solo la verificación de identidad de las contrapartes.
Las instituciones deben implementar sistemas de monitorización blockchain en tiempo real combinados con filtros automáticos de sanciones para identificar y bloquear transacciones problemáticas antes de que se ejecuten.
Perspectivas
La firma de seguridad blockchain PeckShield estima que las pérdidas totales por este ataque rondan los 9 millones de dólares, con unos 3 millones ya transferidos a Tornado Cash y unos 6 millones en criptoactivos aún en la dirección del atacante.
A la hora de publicación, el equipo de Yearn Finance sigue investigando el incidente y ha confirmado que sus vaults V2 y V3 no se han visto afectados. Este evento vuelve a poner de manifiesto los retos constantes que enfrentan las DeFi para equilibrar la seguridad y el cumplimiento normativo.
