YO Protocol denuncia grave error en el cambio de moneda: en una operación de reequilibrio de activos, aproximadamente por valor de 384 millones de dólares en stkGHO, se intercambió accidentalmente a través de un pool extremo de Uniswap v4, recibiendo solo unos 12.2 millones de dólares en USDC, evaporando casi 370 millones de dólares en un instante.
(Resumen previo: ¡El protocolo TrueBit parece haber sido hackeado! 8,535 ETH transferidos de forma anómala, $TRU cortados de raíz)
(Información adicional: Hackers norcoreanos robaron un récord en 2025: 2,02 mil millones de dólares en criptomonedas, ciclo de lavado de aproximadamente 45 días)
Índice del artículo
- Desarrollo del incidente
- Respuesta rápida del equipo de YO Protocol
- Resumen de la causa raíz del incidente
La firma de seguridad blockchain BlockSec publicó recientemente que el protocolo DeFi YO Protocol sufrió el 13 de enero de 2026 un grave error de cambio de moneda. Esto no fue una vulnerabilidad típica de contrato inteligente ni un ataque de hackers, sino un error grave en el proceso operativo que llevó a una pérdida de aproximadamente 370 millones de dólares, ya que solo se lograron obtener unos 12.2 millones de dólares en USDC tras intercambiar stkGHO (el token GHO en staking en Aave) por USDC.
YO protocol (@yield) sufrió un intercambio extraño en #Ethereum: ~$3.84M en stkGHO terminó como solo ~$122K USDC. El equipo tomó medidas, incluyendo comprar GHO y volver a depositar stkGHO en la bóveda.
Nuestra investigación sugiere que la discrepancia puede haber resultado de dos… pic.twitter.com/ttbZwv5zEt
— BlockSec Phalcon (@Phalcon_xyz) 13 de enero de 2026
Desarrollo del incidente
Según análisis en cadena de varios equipos de seguridad como BlockSec, el incidente se originó en una operación de reequilibrio de activos realizada por el operador (o keeper automatizado) del Yo Vault en YO Protocol: intercambiar aproximadamente 3.84 millones de dólares en stkGHO por USDC. La transacción originalmente debía buscar la mejor ruta mediante un agregador, pero fue dirigida a un pool de Uniswap v4 con liquidez extremadamente escasa y tarifas muy altas (o que utilizaba hooks personalizados).
Debido a una selección de ruta anómala, además de que el iniciador pudo haber configurado una tolerancia de deslizamiento demasiado alta (o sin protección alguna), se produjeron impactos de precio extremos y se extrajeron enormes tarifas. Finalmente, la mayor parte del valor fue capturado por los proveedores de liquidez (LP) de ese pool de Uniswap v4, dejando solo unos 11.2 a 12.2 millones de dólares en USDC en manos del protocolo.
Respuesta rápida del equipo de YO Protocol
Tras el incidente, el equipo de YO Protocol tomó medidas en pocas horas:
- Recomprar aproximadamente 3.71 millones de dólares en GHO mediante un agregador CoW Swap con protección MEV.
- Depositar nuevamente en la bóveda el stkGHO equivalente, restaurando rápidamente la liquidez.
- Suspender temporalmente el mercado de YoUSD en Pendle, para reequilibrar y reabrir posteriormente.
Además, el equipo dejó un mensaje en la cadena proponiendo una colaboración con los LP que capturaron beneficios: sugerir que los LP retengan un 10% como recompensa por la vulnerabilidad, y devolver amistosamente el resto, buscando resolver la disputa en privado.
Resumen de la causa raíz del incidente
Este incidente no revela una vulnerabilidad en el contrato de YO Protocol en sí, sino que es un resultado típico de riesgos operativos y las particularidades del mecanismo de hooks en Uniswap v4. Los factores principales incluyen:
- Errores en scripts automatizados o en la selección de rutas del agregador, que llevaron a ingresar en pools de configuración extrema (liquidez concentrada en un rango estrecho + hooks personalizados que pueden generar tarifas dinámicas altas o manipulación de precios).
- Falta de mecanismos de protección adecuados, como listas blancas de pools, límites de deslizamiento forzados, verificaciones de impacto en el precio, etc.
- Desde su lanzamiento en 2025, el mecanismo de hooks en Uniswap v4 ha traído innovación, pero también se ha convertido en un punto potencial de riesgo de “bomba de deslizamiento”, especialmente peligroso para transacciones de gran volumen.
Varios equipos de seguridad coinciden en que esto fue un “error operativo amplificado” y no un ataque malicioso, sirviendo como advertencia para que los protocolos DeFi refuercen significativamente sus medidas de seguridad en operaciones automatizadas de gran escala.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La votación de la comunidad de dYdX aprueba utilizar 10 millones de USDC del fondo de seguro para financiar la DAO
La Fundación dYdX anunció el 2 de abril que, mediante una votación on-chain de la comunidad #372, asignará 10 millones de USDC procedentes del fondo de seguro para respaldar la operación del DAO. Los fondos se asignarán a subDAO de operaciones, subDAO de tesorería y la fundación, para la operación, las reservas y el desarrollo del ecosistema. Actualmente, el fondo de seguro mantiene aproximadamente 17 millones de USDC.
GateNewshace1h
Drift confirma un exploit de 280 millones de USD y el riesgo se extiende a los flujos de capital de USDC
Drift confirma un exploit por 280 millones de USD, el riesgo se extiende a los flujos de capital de USDC
Drift informó que el exploit de 280 millones de USD se originó en la aprobación de transacciones no autorizadas a través de un durable nonce, lo que genera preocupaciones sobre la seguridad de USDC y el flujo de capital.
Drift confirma que el exploit de 280 millones de USD no proviene de un error en el contrato inteligente
TapChiBitcoinhace3h
Circle bajo fuego por permitir que los $285M en USDC robados se movieran libremente durante el hack de Drift
El investigador onchain ZachXBT criticó a Circle el 2 de abril de 2026 por no actuar mientras millones en USDC robados se movían a través de su Protocolo de Transferencia entre Cadenas (CCTP) durante el exploit del Protocolo Drift por $285 millones, a pesar de que el emisor había congelado 16 billeteras comerciales días antes en un caso civil sellado.
CryptopulseElitehace5h
¡Dos taiwaneses apostaron en Polymarket y fueron arrestados! La fiscalía desmantela por primera vez un caso sobre un mercado de predicciones de elecciones “nueve en uno” con criptomonedas
La Oficina del Ministerio Público del Distrito de Yunlin desmanteló el primer caso a nivel nacional de una plataforma de apuestas de “nueve en uno” vinculada a las elecciones con criptomonedas, y dos apostadores están siendo investigados por violar la “Ley de Elección y Referéndum” y por el delito de apuestas. Ya en febrero se había advertido la ilegalidad de este tipo de conductas de apuestas. El caso demuestra que las transacciones en la cadena no son anónimas y pueden rastrearse, lo que afecta la imparcialidad de las elecciones.
ChainNewsAbmediahace6h
