Yearn Finance, esse veterano da selva DeFi, acabou de ser atingido novamente.
A vítima? yETH, um produto sofisticado da Yearn que reúne vários Ethereum em staking num pacote elegante.
Imagine uma cesta de frutas cósmica sendo de repente saqueada por um bandido sombrio do mundo cripto.
1.000 ETH transferidos para Tornado Cash
O roubo? Cerca de 9 milhões de dólares desapareceram do pool yETH stableswap e do seu parceiro menor, o pool yETH-WETH na Curve.
O hacker agiu como um profissional, explorando uma combinação enigmática de um chamado “bug numérico de baixo nível” e um “problema de gestão de invariantes de alto nível” (sim, é mesmo jargão técnico cripto para “fizemos asneira”).
Numa tarde de domingo que deveria ter sido tranquila, alguém cunhou infinitos tokens yETH, trocou-os por ETH real e tokens de staking, e depois fugiu com o prémio em dinheiro e cerca de 1.000 ETH transferidos para Tornado Cash, a versão DeFi de uma bomba de fumo.
Às 21:11 UTC de 30 de novembro, ocorreu um incidente envolvendo o pool yETH stableswap que resultou na cunhagem de uma grande quantidade de yETH. O contrato afetado é uma versão personalizada do código popular de stableswap, sem relação com outros produtos Yearn. Os cofres Yearn V2/V3 não estão em risco.
— yearn (@yearnfi) 1 de dezembro de 2025
Smart contracts que se autodestroem
A resposta da Yearn foi rápida e até um pouco heroica. Em colaboração com Plume e Dinero, recuperaram 857,49 pxETH, cerca de 2,4 milhões de dólares, resgatando parte do saque do abismo.
O processo foi delicado, descrito no relatório noturno da Yearn como de “alta complexidade”, rivalizando com a ousadia infame do recente ataque ao Balancer.
Como é que o vilão conseguiu este feito? O truque envolveu um tipo engenhoso de smart contracts que se autodestroem após cumprirem o seu papel, apagando qualquer vestígio do seu bytecode mas deixando rastos na blockchain para os analistas atentos.
Estes contratos cunharam tokens yETH falsos, drenaram os pools e depois desapareceram como navios-fantasma na noite digital.
Mesmo protocolos veteranos com bilhões não são invencíveis
A posição oficial da Yearn? O problema está isolado, apenas o código personalizado do yETH foi afetado.
No momento da redação, os cofres Yearn ainda detêm uns impressionantes 570 milhões de dólares, intocados por este episódio em particular. Mas é justo dizer que esta não é a primeira vez da Yearn.
Desde 2021, têm estado envolvidos em explorações, incluindo uma perda de 11 milhões de dólares devido ao ataque ao cofre yDAI e um ataque a um contrato yUSDT antigo em 2023.
Como um cowboy calejado, a Yearn continua a ser alvejada mas recusa-se a abandonar a arena.
Para os entusiastas de DeFi, este episódio soa um alarme alto: mesmo protocolos veteranos com bilhões não são invencíveis.
O exploit do yETH mistura peculiaridades de smart contracts e hackers engenhosos, ilustrando o delicado equilíbrio que é a segurança das finanças descentralizadas.
Cryptocurrency e especialista em Web3, fundador da Kriptoworld
LinkedIn | X (Twitter) | Mais artigos
Com anos de experiência a cobrir o espaço blockchain, András oferece reportagens perspicazes sobre DeFi, tokenização, altcoins e regulamentações cripto que moldam a economia digital.
