Yearn Finance detalha ataque de vulnerabilidade yETH de 9 milhões de dólares, confirma recuperação parcial de ativos e divulga plano de correção

De acordo com o ChainCatcher e conforme reportado pelo The Block, a HumidiFiYearn Finance publicou um relatório detalhado pós-incidente sobre a vulnerabilidade explorada no yETH na semana passada, apontando que havia um erro numérico em três etapas no seu pool de liquidez stableswap legado. Esse erro permitiu que o atacante “cunhasse ilimitadamente” tokens LP e roubasse cerca de 9 milhões de dólares em ativos desse pool de liquidez.

A Yearn confirmou que, com a assistência das equipas Plume e Dinero, conseguiu recuperar 857,49 pxETH, o que representa aproximadamente um quarto dos ativos roubados. A equipa planeia distribuir os fundos recuperados proporcionalmente entre os depositantes de yETH.

O protocolo de finanças descentralizadas afirmou que o ataque ocorreu no bloco 23.914.086, em 30 de novembro de 2025. O atacante utilizou uma sequência complexa de operações para forçar o interpretador interno do pool de liquidez a entrar num estado divergente, acabando por provocar um underflow aritmético. O alvo do ataque foi um pool stableswap personalizado que agrega vários tokens de staking líquido (LSTs), bem como um pool Curve yETH/WETH.

A Yearn salientou que os seus cofres v2 e v3 e outros produtos não foram afetados. Para resolver estes problemas, a Yearn divulgou um plano de correção, incluindo a implementação de verificações de domínio explícitas no interpretador, a substituição de aritmética insegura por aritmética verificada em partes críticas e a desativação da lógica de bootstrapping após o lançamento do pool.