Manipulación en Curve de la bóveda yDAI de Yearn

El 4 de febrero de 2021, la bóveda yDAI de Yearn Finance sufrió un exploit con préstamo flash de 11 transacciones. La bóveda perdió aproximadamente $11 millones; el atacante ganó aproximadamente $2,8 millones de beneficio, con la mayor parte de la diferencia destruida en slippage y gas. Tether congeló $1,7M del USDT robado, mitigando parte de la pérdida.

Qué ocurrió

La bóveda yDAI de Yearn desplegaba el DAI del usuario en el 3pool de Curve (DAI/USDC/USDT) para obtener rendimiento. Las operaciones de depósito y retiro de la bóveda ponían precio entrando y saliendo del 3pool basándose en las tasas de cambio internas actuales del pool — tasas que cualquiera con suficiente capital podía distorsionar temporalmente.

El ataque fue una elaborada secuencia de 11 transacciones:

1. Pidió préstamo flash de 116.000 ETH a dYdX y 99.000 ETH a Aave v2.
2. Usó el ETH como colateral para pedir prestados 134M USDC y 129M DAI a Compound.
3. Depositó grandes cantidades en el 3pool de Curve para manipular la tasa de cambio de DAI dentro del pool.
4. Disparó a la bóveda yDAI de Yearn a depositar en / retirar del 3pool a las tasas manipuladas y desfavorables.
5. Cada ciclo extraía una porción del valor de la bóveda mediante el desequilibrio de tasas.
6. Devolvió todos los préstamos flash, marchándose con 513.000 DAI + $1,7M USDT + tokens CRV ≈ $2,8M neto.

Los ~$8M restantes de la pérdida de $11M de la bóveda no fueron capturados por el atacante — fueron destruidos en slippage del 3pool y el coste de la propia manipulación, una característica recurrente de los ataques de oráculo financiados por préstamos flash donde la pérdida total del protocolo excede la toma del atacante.

Consecuencias

• Yearn parcheó la estrategia de la bóveda para reducir la superficie de manipulación explotable en horas.
• Tether congeló $1,7M USDT que el atacante había extraído, recuperándolos para los usuarios afectados.
• Yearn se comprometió a hacer entera la bóveda mediante ingresos del protocolo y asignación de tesorería.
• Las ganancias restantes del atacante fueron blanqueadas.

Por qué importa

El incidente yDAI de Yearn es uno de los casos fundacionales de manipulación de oráculo con préstamo flash de la era DeFi de 2021 — lo suficientemente temprano como para que la lección estructural que enseñó aún se estuviera aprendiendo a través del ecosistema:

Cualquier bóveda que ponga precio a depósitos/retiros contra la tasa de cambio instantánea de un pool manipulable es explotable por cualquiera que pueda mover ese pool en la misma transacción.

El patrón recurrió a lo largo de 2021-2026 en Harvest Finance, Cream Finance, Belt Finance y docenas de otros. La respuesta defensiva — leer precios desde oráculos ponderados en el tiempo o feeds externos, nunca desde la tasa spot de un pool que el atacante puede tocar — fue articulada claramente después de exactamente estos incidentes.

La proporción pérdida de $11M / beneficio del atacante de $2,8M también es instructiva: aproximadamente el 75% del daño económico fue destruido, no robado. Esto es una característica recurrente de los ataques de oráculo con préstamo flash y significa que las cifras de titulares de "cantidad robada" consistentemente subestiman el verdadero coste para el protocolo.