Em 1 de dezembro, o protocolo de finanças descentralizadas Yearn Finance terá alegadamente sofrido um ataque, durante o qual os hackers esvaziaram a sua pool de liquidez ao criar uma quantidade ilimitada de yETH.
Segundo a empresa de segurança PeckShield, as perdas totais resultantes deste incidente estão estimadas em cerca de 9 milhões $.
Os dados da blockchain mostram que o atacante já transferiu 1 000 ETH (aproximadamente 3 milhões $) para o mixer de criptomoedas Tornado Cash, enquanto o endereço do atacante ainda detém cerca de 6 milhões $ em ativos digitais.
01 Visão Geral do Incidente: Pool yETH Esvaziada Rapidamente
Em 1 de dezembro, o produto Yearn Ether (yETH) da Yearn Finance foi alvo de um ataque significativo. Este produto consiste num token índice que agrega vários tokens de staking líquido (LST) populares.
O atacante explorou uma vulnerabilidade cuidadosamente preparada para cunhar praticamente uma quantidade ilimitada de tokens yETH numa única transação, esvaziando rapidamente toda a pool de liquidez.
Os dados da blockchain indicam que o ataque envolveu vários contratos inteligentes recém-desenvolvidos, alguns dos quais se autodestruíram imediatamente após a transação, dificultando a investigação.
Após o incidente, a Yearn Finance publicou uma declaração na X: "Estamos a investigar o evento envolvendo a pool yETH LST StableSwap. Os cofres V2 e V3 da Yearn não foram afetados."
02 Método de Ataque: Cunhagem Ilimitada e Transferências de Fundos
De acordo com o utilizador da X Togbe, o ataque foi detetado durante a monitorização de grandes transferências.
Togbe explicou: "As transferências líquidas mostram que o yETH foi sobrecunhado, permitindo ao atacante, de alguma forma, esvaziar a pool e lucrar cerca de 1 000 ETH."
Durante o ataque, parte do ETH foi perdida por razões desconhecidas, mas o atacante acabou por lucrar.
Após garantir os fundos, o atacante transferiu 1 000 ETH (avaliados em cerca de 3 milhões $) para o Tornado Cash — um protocolo de privacidade descentralizado frequentemente utilizado para ocultar o rasto dos fundos.
Os dados da PeckShield mostram que o endereço do atacante ainda detém aproximadamente 6 milhões $ em ativos digitais.
03 Tornado Cash: Ferramenta de Privacidade e Controvérsia sobre Branqueamento de Capitais
O Tornado Cash é um protocolo de privacidade descentralizado baseado em Ethereum que utiliza tecnologia de prova de conhecimento zero para ajudar os utilizadores a ocultar detalhes das transações.
O protocolo oferece proteção de privacidade ao cortar as ligações on-chain entre os endereços de depósito e de levantamento.
No entanto, esta funcionalidade de privacidade fez do Tornado Cash uma ferramenta preferida por hackers que pretendem lavar fundos.
Em agosto de 2022, o Tesouro dos EUA adicionou o Tornado Cash à sua lista de sanções, alegando que o grupo de hackers Lazarus utilizou a plataforma para lavar centenas de milhões de dólares desde 2019.
Em março de 2025, o Tornado Cash foi finalmente removido da lista de sanções do Tesouro — um desenvolvimento considerado uma vitória importante para o setor blockchain.
04 Histórico de Segurança da Yearn Finance
Esta não é a primeira vez que a Yearn Finance enfrenta um incidente de segurança.
Em 2021, o protocolo foi alvo de um ataque que afetou o cofre yDAI, resultando em perdas de 11 milhões $, com os hackers a lucrarem, no final, 2,8 milhões $.
Em dezembro de 2023, um erro de script provocou uma perda de 63% numa posição de cofre, embora os fundos dos utilizadores não tenham sido afetados.
A Yearn Finance foi lançada em 2020 pelo fundador Andre Cronje, que abandonou o projeto dois anos depois.
05 Impacto no Mercado e Queda Generalizada das Criptomoedas
O ataque ocorreu durante uma acentuada queda no mercado de criptomoedas.
Na manhã de 1 de dezembro, o Bitcoin desceu brevemente abaixo dos 86 000 $, caindo mais de 5% num só dia; o Ethereum também perdeu o suporte do nível dos 2 900 $.
Segundo dados da Coinglass, mais de 500 milhões $ em contratos de criptomoedas foram liquidados na rede em 24 horas, afetando 177 200 traders.
Esta queda do mercado poderá estar relacionada com rumores de que Jerome Powell, presidente da Reserva Federal, poderá demitir-se, embora os principais meios de comunicação internacionais não tenham noticiado o assunto e os analistas considerem o rumor provavelmente falso.
06 Resposta da Indústria e Perspetivas Futuras
Cada incidente de hacking levanta novas questões sobre a segurança das DeFi.
No caso do Tornado Cash, o Departamento de Justiça dos EUA apresentou acusações criminais em agosto de 2023 contra os cofundadores Roman Storm e Roman Semenov, acusando-os de conspiração para branqueamento de capitais, operação de negócio de transmissão de dinheiro não licenciado e violação das normas de sanções.
Organizações do setor reagiram, com a Coin Center a afirmar: "Tratar o desenvolvimento de software open-source como crime é um golpe para a inovação tecnológica."
Para os investidores institucionais, o caso Tornado Cash demonstra que os reguladores exigem agora uma abordagem proativa ao cumprimento normativo, e não apenas verificação de identidade das contrapartes.
As instituições precisam de implementar sistemas de monitorização da blockchain em tempo real, combinados com rastreio automático de sanções, para identificar e bloquear transações problemáticas antes de ocorrerem.
Perspetiva
A empresa de segurança blockchain PeckShield estima perdas totais deste ataque em cerca de 9 milhões $, com aproximadamente 3 milhões $ já transferidos para o Tornado Cash e cerca de 6 milhões $ em ativos digitais ainda sob controlo do endereço do atacante.
À data de publicação, a equipa da Yearn Finance continua a investigar o incidente e confirmou que os seus cofres V2 e V3 permanecem intactos. Este evento volta a evidenciar os desafios permanentes que as DeFi enfrentam ao tentar equilibrar segurança e conformidade regulatória.
