Descoberta e escopo
Pesquisadores reportados pelo veículo detectaram que, em 30 de novembro de 2025, um ator explorou uma falha lógica na pool yETH do Yearn Finance e drenou aproximadamente US$9 milhões em ativos baseados em Ethereum.
Panorama técnico
Segundo a análise citada, o atacante fez um depósito final de apenas 16 wei e, a partir daí, conseguiu que o contrato mintasse uma quantidade imensa de tokens de liquidez — descrita como 235 septillion de yETH tokens — devido a discrepâncias entre contadores principais e valores em cache (variáveis referidas como packed_vbs).
O problema central, conforme o relatório, foi que o mecanismo de contabilização interno não zerou corretamente valores em cache quando a oferta da pool caiu a zero. Com isso, o contrato passou a ler valores obsoletos do cache em vez de recalcular a partir do depósito atual, produzindo um erro massivo no cálculo de tokens a mintar.
Vetor de exploração
Os analistas descrevem o ataque como um caso de “state poisoning”: o perpetrador realizou ciclos repetidos de depósitos e retiradas — usando inclusive flash loans — deixando resíduos minúsculos em slots de armazenamento que persistiram mesmo após a retirada da liquidez legítima. Quando a pool recebeu o depósito final de 16 wei, o contrato usou os valores poluídos para calcular as proporções, gerando a mintagem excessiva de tokens.
Impacto e desfecho
Com os LP tokens inflados, o atacante teve controle sobre os ativos da pool, que foram convertidos em WETH e, segundo a análise, movidos por rotas que incluíram mixers como Tornado Cash. O montante transferido é reportado em cerca de US$9 milhões; não há indicação nas fontes de recuperação parcial dos fundos.
Limites das informações
O relato técnico citado no resumo atribui a descoberta e a explanação à análise de segurança publicada (Check Point é referenciado como fonte de análise técnica), mas as fontes não detalham nomes de endereços on‑chain específicos envolvidos na retirada nem confirmam se houve reconhecimento de responsabilidade por parte de agentes ligados ao protocolo.
Implicações para DeFi
O incidente evidencia dois pontos recorrentes em ataques a protocolos DeFi: (1) otimizações de gás que recorrem a caches ou variáveis pré-calculadas podem introduzir invariantes lógicas frágeis; (2) flows que assumem que “zero supply” é sinônimo de estado limpo podem ser perigosos se caches persistirem. A recomendação implícita nas análises é reforçar limpeza explícita de estado e adicionar checks on‑chain que não dependam somente de valores em cache.
Próximos passos
As fontes encorajam auditorias focadas em gerenciamento explícito de estado, revisões de funções de add_liquidity e testes de casos extremos (liquidez reduzida a zero) como mitigação imediata. Não há indicação, nas matérias consultadas, de patches já aplicados ou de medidas tomadas pelo Yearn Finance no momento do relato.