Hechos clave:

  • La vulnerabilidad existía desde hace 1.000 días, precisó un estudioso.

  • El atacante usó Aave para mudar fondos, mas el protocolo aclaró que no fue perjudicado de momento.

Un fallo en el código de una versión precedente del protocolo de finanzas descentralizadas (DeFi) Yearn Finance dejó que un atacante se robara USD once,6 millones. Su depósito inicial había sido solo de USD diez.

Según (*6*)informaron especialistas como el estudioso Sam Sun, el fallo detectado debe ver con el (*3*)token yUSDT y se sitúa más exactamente en iearn, un contrato inteligente viejo del protocolo. Este token es la representación de la stablecoin Tether (USDT) en esa plataforma, que es un agregador de rendimientos. Estos agregadores emplean los tokens concedidos por pools de liquidez para producir ganancias al proveer liquidez a otros protocolos.

La información fue confirmada por la firma de analíticas y seguridad PeckShield, que agregó además de esto el dato de que el pirata informático usó USD diez para producir más de 1,2 trillones de yUSDT. Luego, sencillamente cambió ese monto por ether (ETH) y otras stablecoins, como DAI, USD Coin (USDC), Binance USD (BUSD), TrueUSD (TUSD) y USDT en el Exchange descentralizado Uniswap y en la plataforma de inversiones Aave.

Esto desea decir que el atacante fue capaz de multiplicar por 1.160 veces su dinero inicial, aprovechando esta falla en el código del protocolo DeFi.

(*1*)
El análisis de PeckShield respecto al hackeo a Yiern Finance. Fuente: (*6*)Twitter/@peckshield.

Sam Sun especificó a este respecto que iearn “estaba mal configurado y usaba el token Fulcrum iUSDC en lugar del token Fulcrum iUSDT”. Lo atractivo es que, conforme su revisión, la vulnerabilidad existía hace ya prácticamente 3 años. Como especificó CriptoNoticias en su instante, algo afín había pasado en iearn con el token yDAI en el mes de febrero de dos mil veintiuno.

Aclaraciones de Yearn Finance y Aave

Un impositor de iearn y de Yearn Finance identificado como Storm Blessed escribió en Twitter que el inconveniente se restringe a iearn y al pool de liquidez, mas que los vaults de Yearn Finance v2 “parecen no verse afectados”, si bien el equipo de desarrollo está estudiando el caso. Lo mismo ratificó la cuenta oficial de iearn.

Asimismo, el protocolo DeFi Aave, uno de los líderes del rubro a nivel del mundo, se vio implicado de entrada pues el atacante hizo múltiples intercambios en la plataforma. No obstante, Aave informó que sus versiones 2 y 3 no se vieron afectadas, mas están estudiando posibles efectos en su v1, “la versión más vieja del protocolo que ya fue congelada”.

El protocolo Yearn Finance tiene un valor total bloqueado (TVL) de (*8*)USD cuatrocientos cuarenta y nueve millones en total. De este modo, se sitúa en la situación veintidos entre las plataformas con más valor entre las DeFi.

Andrea Gomez

San Salvador (El Salvador), 1997. Desde pequeña ha sentido una gran pasión por la escritura y la investigación, lo que la llevó a especializarse en reportajes de impacto social. En su tiempo libre, disfruta de la lectura de novelas históricas y de misterio, y también es una gran amante de la música, especialmente del rock latinoamericano. Además, es una ávida viajera, y ha tenido la oportunidad de visitar algunos países de América Latina y Europa para conocer diferentes culturas y enriquecer su visión del mundo.