Yearn Finance pierde 300.000 dólares en un exploit de la bóveda de TUSD

Yearn Finance, uno de los principales protocolos de finanzas descentralizadas (DeFi), ha sufrido un revés significativo cuando su antiguo bóveda TUSD ha sido víctima de un exploit sofisticado.

Según la empresa de seguridad PeckShield, los atacantes lograron extraer aproximadamente 300.000 dólares, convirtiendo los activos robados en 103 Ether que ahora se encuentran en la dirección 0x0F21... 4066.

Cabe destacar que el incidente ha reavivado las preocupaciones sobre las vulnerabilidades de contratos inteligentes obsoletos e inmutables que siguen activos en Ethereum años después de su despliegue.

Bóveda TUSD mal configurada

Según el análisis de William Li, la brecha tenía como objetivo una bóveda antigua de Yearn TUSD, conocida como la "bóveda iearn TUSD", que había sido superada hace tiempo por nuevas versiones.

Los investigadores identificaron una mala configuración en la estrategia de la bóveda, que utilizaba una bóveda sUSD Fulcrum para los cálculos mientras solo consideraba los saldos sUSD depositados en la bóveda.

Este diseño defectuoso creó un camino para un llamado "ataque de donaciones", permitiendo a los responsables manipular artificialmente el precio de las acciones de la bóveda.

Los atacantes aprovecharon esta debilidad con una serie de préstamos rápidos, solicitando prestados cantidades significativas de TUSD y sUSD sin ninguna garantía inicial.

Depositaron sUSD para acuñar tokens sUSD de Fulcrum antes de colocar TUSD en la bóveda.

Debido a que el precio de las acciones de la bóveda ignoró los activos sUSD, la función de reequilibrio posterior, que retiró todos los sUSD subyacentes, provocó el colapso de las métricas contables de la bóveda.

Este "choque de precio" artificial permitió a los atacantes acuñar grandes cantidades de tokens Yearn TUSD a un coste mínimo y, finalmente, venderlos en pools Curve, extrayendo valor de los proveedores de liquidez antes de devolver los préstamos flash.

Un patrón de vulnerabilidades heredadas

Los analistas de seguridad han señalado que este exploit refleja un ataque similar en 2023, cuando un contrato yUSDT mal configurado provocó pérdidas superiores a 10 millones de dólares.

Ese incidente se debió a un error de copiar y pegar que hizo referencia al contrato Fulcrum incorrecto, lo que permitió a los hackers obtener cantidades sin precedentes de yUSDT a partir de pequeños depósitos iniciales.

A pesar de las advertencias de observadores pesimistas en las redes sociales, la naturaleza inmutable de los contratos inteligentes hacía inevitables estas vulnerabilidades una vez desplegadas.

El exploit de la bóveda Yearn TUSD se suma a una lista creciente de ataques dirigidos a antiguos contratos DeFi sin mantener.

Un incidente comparable afectó recientemente a Ribbon Finance, anteriormente conocida como Aevo, donde un despliegue obsoleto permitió a los atacantes manipular contratos de administrador proxy y agotar 2,7 millones de dólares.

Ambos eventos ponen de manifiesto los riesgos continuos asociados a los protocolos heredados que siguen manteniendo fondos significativos en cadena mucho después de haber sido obsoletos.

Respuesta de Yearn Finance

En respuesta al incidente, un miembro del equipo de Yearn bajo el nombre storming0x confirmó que los contratos actuales siguen siendo seguros.

El equipo tranquilizó a los usuarios diciendo que solo se vio afectado el obsoleto vault V1 TUSD y enfatizó que los despliegues más recientes incorporan lecciones aprendidas de vulnerabilidades pasadas.

No obstante, el ataque subraya la importancia de auditar activamente y desestimar contratos heredados para evitar la explotación de defectos similares en el futuro.