Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 132Fallo de smart contract

yUSDT mal configurado de Yearn iEarn

Un contrato iEarn legado de Yearn mal configurado apuntando al token Fulcrum incorrecto acuñó 1,2Q yUSDT y drenó $11M de Aave v1 antes de que nadie lo notara.

Fecha
Víctima
Yearn Finance (iEarn)
Cadena(s)
Ethereum
Estado
Fondos robados

El 13 de abril de 2023, los atacantes explotaron una mala configuración en el contrato legado iEarn yUSDT — un predecesor de Yearn Finance deprecado desde 2020 — para acuñar más de 1,2 cuatrillones de yUSDT desde un depósito inicial de $10.000. El drenaje resultante extrajo aproximadamente $11,5 millones de varios pools de liquidez de stablecoins.

Qué ocurrió

iEarn era el contrato agregador de rendimiento original de Yearn Finance, desplegado a principios de 2020 antes de la introducción de las bóvedas modernas de Yearn. El contrato era inmutable y fue deprecado a mediados de 2020 cuando las bóvedas V1 se lanzaron, pero había permanecido on-chain desde entonces.

Un error de configuración en el contrato yUSDT de iEarn había estado silenciosamente latente durante tres años:

  • iEarn se suponía que depositaba el USDT subyacente de yUSDT en el pool iUSDT de Fulcrum.
  • En cambio, el contrato estaba configurado para depositar en el pool iUSDC de Fulcrum — un token completamente diferente.

La discrepancia significaba que el cálculo de tasa de cambio entre USDT y yUSDT estaba roto. El precio era efectivamente cualquier número al que el atacante pudiera empujarlo depositando USDT en un contrato que interpretaba los depósitos como valor de una stablecoin diferente.

El ataque:

  1. El atacante depositó una pequeña cantidad inicial de USDT (~$10K).
  2. Mediante una secuencia de depósitos cuidadosamente cronometrados y la contabilidad mal enrutada yUSDT/iUSDC, acuñó ~1,2 cuatrillones de yUSDT contra esencialmente ningún valor.
  3. Usó el absurdo saldo yUSDT como colateral o entrada de swap a través de los mercados de Aave v1 y los pools de Curve que tenían integraciones obsoletas de yUSDT.
  4. Drenó $11,5M en stablecoins mixtas (USDP, TUSD, BUSD, USDT, USDC, DAI) antes de que nadie se diera cuenta.

Consecuencias

  • Yearn confirmó públicamente que el exploit estaba limitado al contrato deprecado iEarn — las bóvedas modernas de Yearn (V1, V2, V3) no se vieron afectadas, como tampoco el despliegue actual de Aave.
  • Las stablecoins robadas fueron blanqueadas a través de Tornado Cash.
  • El incidente provocó auditorías más amplias de contratos legados inmutables que aún consumen liquidez on-chain en los principales protocolos.

Por qué importa

El incidente de iEarn demuestra que los contratos deprecados no son lo mismo que los contratos desmantelados. Mientras un contrato esté on-chain e integrado con mercados activos, cualquier error de configuración horneado en él aún puede ser explotado — incluso tres años después de que el equipo dejara de soportarlo.

La respuesta defensiva en los meses posteriores incluyó:

  • Flujos de deprecación activos que pausan integraciones y migran liquidez fuera de los contratos legados cuando se retiran.
  • Auditorías inter-protocolo específicamente orientadas a las superficies de contratos legados que se integran con mercados actuales.
  • Topes de liquidez en Aave v1 / Curve / pools similares que habían envejecido sin mantenimiento activo.

La lección de Yearn es la poco glamorosa: un contrato que olvidaste es un contrato que alguien más recordará.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2023/04/13/defi-protocols-aave-yearn-finance-likely-impacted-in-exploit-peckshield
  2. [02]quillaudits.medium.comhttps://quillaudits.medium.com/decoding-yearn-finance-11-million-hack-quillaudits-c9a75ac7e68b
  3. [03]slowmist.medium.comhttps://slowmist.medium.com/an-analysis-of-the-attack-on-yearn-finance-bd17f55460ea

Registros relacionados