El 29 de septiembre de 2020, el proyecto inacabado de gaming DeFi Eminence —construido por Andre Cronje, creador de Yearn Finance— fue drenado por aproximadamente 15 millones de dólares en un ataque de préstamo flash sobre la mecánica de su bonding curve. Cronje había declarado explícitamente que el proyecto estaba "a por lo menos tres semanas" de su finalización, pero 15 M$ entraron en cuestión de horas tras la publicación de teasers de arte. El atacante devolvió 8 millones de dólares al fondo de desarrolladores de Yearn posteriormente.
Qué ocurrió
El enfoque típico de "lanzar pronto e iterar en público" de Cronje significaba que sus contratos desplegados a menudo aparecían on-chain mucho antes de su lanzamiento previsto. Para Eminence —un proyecto de economía de juego sin sitio web, sin documentación y sin anuncio público de lanzamiento— Cronje simplemente había desplegado una versión en curso del contrato del token EMN en Uniswap, presumiblemente para pruebas.
La comunidad cripto se dio cuenta del despliegue, identificó la firma de Cronje y se metió de todas formas, depositando aproximadamente 15 millones de dólares en stablecoins en la bonding curve de EMN a lo largo de unas horas, asumiendo que la implicación de Cronje garantizaba la eventual captura de valor.
La bonding curve no había sido auditada. El ataque fue, en palabras del propio Cronje, "uno muy simple":
- Acuñar mucho EMN en el extremo apretado de la bonding curve (precio bajo por token con poco suministro).
- Quemar el EMN recién acuñado mediante una función paralela a cambio de una moneda diferente que el contrato valoraba más alto.
- Vender los ingresos de nuevo a EMN para acuñar más, recursivamente.
- Repetir hasta extraer los 15 M$ enteros.
Drenaje neto: ~15 M$ a la wallet del atacante. El precio de EMN colapsó a casi cero.
Consecuencias
- Una porción del atacante —posiblemente el mismo individuo, posiblemente un sombrero blanco distinto— devolvió 8 M$ a un fondo de desarrolladores controlado por Yearn en cuestión de horas.
- Cronje declaró que distribuiría los 8 M$ recuperados a los depositantes originales según una snapshot previa al hackeo.
- Cronje se pronunció públicamente sobre el incidente y reiteró su enfoque de "testear en producción", suscitando críticas amplias de la comunidad de seguridad.
- Eminence nunca se lanzó como producto terminado.
Por qué importa
Eminence es el caso de estudio fundacional de "degens metiéndose en contratos inacabados" como modo recurrente de fallo de DeFi. La ansiedad de la comunidad por adelantarse a los lanzamientos eventuales de Cronje generó pérdidas no forzadas repetidas durante 2020-2022:
- Eminence (sep 2020) — 15 M$ en una bonding curve inacabada.
- Iron Bank's CR Finance v0 (principios de 2021) — patrón similar con pérdidas menores.
- Múltiples contratos taggeados como Cronje en Fantom y Avalanche recibieron millones en depósitos antes de los lanzamientos oficiales.
La lección más profunda y menos caritativa que la comunidad solo ha absorbido parcialmente: el nombre de un desarrollador famoso en un contrato no constituye una auditoría, un lanzamiento ni una garantía de seguridad. La reputación de Cronje era —por su propio diseño— una marca que atraía capital más rápido de lo que su revisión de seguridad podía seguir. Eminence fue la primera instancia importante; no ha sido la última.
Fuentes y evidencia on-chain
- [01]theblock.cohttps://www.theblock.co/post/79061/yfi-eminence-defi-protocol-exploited
- [02]decrypt.cohttps://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
- [03]cryptotips.euhttps://cryptotips.eu/en/news/bizarre-15-million-eminence-hack-an-unfinished-project-by-andre-cronje/