Publicado el 1 diciembre, 2025 por Mariana Flores
El protocolo DeFi Yearn Finance sufrió un ataque el 30 de noviembre de 2025 que resultó en pérdidas por unos 9 millones de dólares, según los reportes de la firma de seguridad blockchain PeckShield. El explotador aprovechó una vulnerabilidad en el contrato del producto yETH para crear una cantidad casi infinita de tokens falsos, vaciando los fondos del pool de liquidez afectado en un solo movimiento.
Cómo ocurrió el ataque.
De acuerdo con el aviso de PeckShield y la confirmación oficial de Yearn, a las 21:11 UTC del 30 de noviembre se ejecutó una transacción que mintió una enorme cantidad de tokens yETH. Con ellos, el atacante extrajo Ether y derivados de staking líquido de los pools vinculados, drenando la liquidez casi instantáneamente. Posteriormente, alrededor de 1.000 ETH —equivalentes a unos 3 millones de dólares— fueron enviados a Tornado Cash, un mezclador de criptomonedas, lo que sugiere un intento de ocultar la procedencia del robo.
Según los datos preliminares, aproximadamente 8 millones de dólares fueron extraídos del pool principal de stableswap de yETH, y alrededor de 0,9 millones de dólares adicionales provinieron de un pool yETH-WETH en Curve.
Yearn aclaró que el contrato vulnerado corresponde a una versión legada de yETH, y que sus productos principales —las vaults V2 y V3— no se vieron afectados.
Repercusiones: valor, TVL y confianza en DeFi.
Tras el incidente, el token de gobernanza YFI cayó cerca de un 5,5 %, ubicándose en torno a los 3 900 USD. Asimismo, el valor total bloqueado (TVL) de Yearn descendió de 432 a 410 millones de dólares en las últimas 24 horas. Aunque lejos de los picos de 6.700 millones registrados en 2021, el retroceso refleja el impacto inmediato del hack sobre la salud financiera del protocolo.
Este no es el primer revés para Yearn. En 2021, un exploit en su pool yDAI resultó en pérdidas de 2,8 millones de dólares, monto que fue posteriormente reembolsado a los usuarios. En diciembre de 2023, otro incidente en un proceso interno provocó la pérdida de 1,4 millones de dólares de su tesorería.
¿Qué significa este hack para el ecosistema DeFi?
- DeFi sigue siendo vulnerable, incluso para protocolos consolidados. Aun aquellos con trayectoria, auditorías y reputación pueden ocultar fallos críticos.
- El riesgo de los productos legados y contratos “heredados”. Los desarrollos antiguos o personalizados —como este yETH— pueden representar un punto débil, incluso si las versiones actuales tienen estándares elevados.
- Importancia de la diversificación y la prudencia. Usuarios e inversores deben ser conscientes de los riesgos estructurales del ecosistema, no depender exclusivamente de la reputación de un protocolo.
- Obstáculo para la adopción institucional. Incidentes como este pueden endurecer la percepción de riesgo, frenando la entrada masiva de capital institucional al sector DeFi.
Qué sigue para Yearn?
El equipo de Yearn ya trabaja con auditoras y expertos externos para llevar a cabo un análisis forense del hack y determinar cómo ocurrió la vulnerabilidad. Hasta ahora, no se ha anunciado un plan público de recuperación de fondos.
Mientras tanto, el protocolo ha aislado el pool afectado y advertido a la comunidad sobre la necesidad de precaución, aunque asegura que las vaults V2 y V3 —donde se aloja la mayor parte del valor bloqueado— no están comprometidas.
El ataque a Yearn Finance pone nuevamente en evidencia los riesgos latentes en el ecosistema DeFi, donde complejidades técnicas, contratos personalizados y una liquidez importante pueden convertirse en blancos atractivos para actores maliciosos. Para muchos usuarios, esto refuerza la máxima: en cripto, la descentralización y autonomía vienen acompañadas de responsabilidades — y de riesgos.
Fuente: ForkLog
