YearnFinanceV1 sofre ataque de exploração de US$ 300.000 em cofre legado de TUSD.

Uma versão antiga do protocolo de finanças descentralizadas Yearn sofreu uma exploração, reacendendo preocupações sobretracinteligentes mal configurados e imutáveis que mantiveram fundos na rede anos após terem sido desativados.

Em uma publicação no X na quarta-feira, a empresa de segurança PeckShield relatou que o ataque hacker ao YearnFinanceV1 resultou em perdas de cerca de US$ 300.000. Os fundos roubados foram convertidos em 103 Ether e agora estão no endereço 0x0F21…4066, de acordo com imagens do Etherscan compartilhadas pela empresa.

#PeckShieldAlert YearnFinanceV1 @yearnfi sofreu uma exploração, resultando em uma perda total de aproximadamente US$ 300 mil.

O explorador trocou os fundos roubados por 103 $ETH , que agora estão no endereço: 0x0F21…4066. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 17 de dezembro de 2025

Os hackers se aproveitaram de uma vulnerabilidade em um cofre Yearn desatualizado vinculado ao TrueUSD, conhecido como "cofre iearn TUSD", que ainda está em uso no Ether apesar de ter sido substituído por versões mais recentes. Uma falha de configuração permitiu que os atacantes manipulassem os preços das ações por meio de diversas transações.

A configuração incorreta do cofre da Yearn Finance desencadeou manipulação de preços. 

De acordo com uma análise de Weilin Li, pesquisador de criptomoedas que usa pseudônimo e ex-aluno da Universidade de Ciência e Tecnologia da China, o cofre configurou uma de suas estratégias como um cofre Fulcrum sUSD e calculou o preço de suas ações usando apenas o saldo de sUSD depositado.

Isso abriu caminho para os chamados "ataques de doação", nos quais um invasor transfere ativos diretamente para um cofre para distorcer as métricas contábeis. Após enviar tokens Fulcrum sUSD para o cofre Yearn TUSD, os perpetradores conseguiram inflar artificialmente o preço das ações reportado pelo cofre.

O problema foi agravado por uma função de rebalanceamento que retira todos os ativos subjacentes em sUSD, um ativo não incluído nos cálculos do preço das ações do cofre. Quando o rebalanceamento começou, o preço das ações do cofre despencou, criando um "choque de preços".

De acordo com o snapshot do Etherscan da PeckShield Alert, o atacante executou empréstimos relâmpago sequenciais, primeiro tomando emprestado grandes quantidades de TUSD e sUSD sem garantia prévia. Em seguida, depositou sUSD para cunhar tokens Fulcrum sUSD antes de depositar TUSD no cofre de TUSD da Yearn. 

Nessa fase, todos os ativos subjacentes do cofre TUSD consistiam em tokens sUSD da Fulcrum. O explorador retirou fundos do cofre TUSD do Yearn e acionou a função de rebalanceamento, forçando a Fulcrum a resgatar tudo em sUSD. Como o sUSD foi excluído dos cálculos do preço das ações, a contabilidade do cofre entrou em colapso, levando o preço das ações a zero.

O atacante então transferiu uma pequena quantidade de TUSD de volta para o cofre, fazendo com que o preço das ações caísse drasticamente, e cunhou uma quantidade enorme de tokens Yearn TUSD a um custo mínimo. Ele finalmente lucrou vendendo os tokens Yearn TUSD adquiridos a baixo custo em pools da Curve,tracvalor dos provedores de liquidez antes de quitar os empréstimos relâmpago.

Yearn Finance recapitula vulnerabilidade de 2023, pesquisador relata

O pesquisador Li descobriu que a exploração era semelhante a um ataque realizado em 2023, que causou prejuízos superiores a US$ 10 milhões. Otracimutável yUSDT, alvo dessedent anterior, foi implementado há mais de três anos, nos primórdios do iLearn, quando o falecido Andre Cronje liderava o protocolo.

Só para acrescentar, este é exatamente o mesmo vetor de ataque da última vez: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

-Weilin (William) Li (@ hklst4r) 16 de dezembro de 2025

Analistas de segurança pessimistas já haviam emitido um alerta sobre a vulnerabilidade nas redes sociais antes da exploração, mas como ostracinteligentes imutáveis não podem ser corrigidos ou pausados após a implantação, isso era inevitável.

 “iearn finance, Smoothswap, tomem cuidado. Este endereço 0x5bac20…ed8e9cdfe0 recebeu 10 ETH da Tornado e está acionandotraccom empréstimos relâmpago usando seus endereços”, escreveu Nikiti Kirillov, da PS.

Um Yearn, conhecido como storming0x, admitiu que o ataque ocorreu e garantiu aos usuários que seus contratos atuais trac seguros. No entanto, observadores do Rekt News revelaram DeFi levou 1.156 dias para detectar uma vulnerabilidade multimilionária.

Otracdo token Yearn yUSDT gerava rendimento a partir de uma cesta de posições rentáveis, incluindo depósitos de USDT na Aave, Compound, dYdX e Fulcrum da BzX. Desde o lançamento, no entanto, o yUSDT continha um erro de copiar e colar que fazia referência ao endereço USDC da Fulcrum em vez dotracUSDT da Fulcrum. 

Usando apenas 10.000 USDT, hackers conseguiram cunhar aproximadamente 1,2 quatrilhão de yUSDT, drenando valor do sistema antes de sacar cash.

O incidente com a Yearn dent menos de uma semana depois de a Cryptopolitan ter noticiado um desvio de US$ 2,7 milhões de um contrato antigo trac à Ribbon Finance, a versão renomeada da Aevo. Esse ataque envolveu interações repetidas com um contrato de administração de proxy trac endereço 0x9D7b…8ae6B76. O atacante invocou funções como transferOwnership e setImplementation para manipular proxies de feed de preços por meio de chamadas de delegação.

Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.