El protocolo Yield (YO) sufrió una pérdida de aproximadamente 3,73 millones de dólares el martes 13 de enero, después de que un intercambio de bóveda convirtiera unos 3,84 millones de dólares en stkGHO, una versión apalancada del stablecoin GHO de Aave, en solo unos 122.000 dólares en USDC, según empresas de seguridad blockchain PeckShield y BlockSec.
PeckShieldAlert dijo en una publicación en X que la pérdida ocurrió durante un intercambio de stkGHO a USDC debido a un deslizamiento extremo. El deslizamiento ocurre cuando una operación se ejecuta a un peor precio del esperado, a menudo durante movimientos rápidos del mercado o cuando no hay suficiente liquidez para una operación grande.
BlockSec dijo el intercambio tuvo lugar en Ethereum y lo describió como un "intercambio extraño". Mientras tanto, QuillAudits dijo el comercio pudo haber sido enrutado a través de una piscina de Uniswap v4, que utiliza "ganchos" que pueden hacer que los intercambios sean más complejos y difíciles de predecir.
Los investigadores de seguridad enfatizaron que el incidente no fue un ataque o explotación de un contrato inteligente. Sin embargo, el incidente destaca un riesgo clave en las finanzas descentralizadas (DeFi): incluso sin un ataque, operaciones comerciales grandes pueden resultar en pérdidas importantes si se realizan a través de liquidez escasa o piscinas con altas tarifas.
YO supuestamente se dirigió al destinatario de los fondos en un mensaje en cadena, describiendo el evento como un "intercambio no intencionado" y proponiendo que se quedaran con el 10% de los ingresos como recompensa por el error y devolvieran el resto, según Defimon Alerts, que compartido el mensaje en X.
QuillAudits señaló además que el equipo actuó rápidamente después del intercambio, comprando aproximadamente 3,7 millones de dólares en GHO y redepósito de stkGHO en el cofre. La empresa también indicó que YO pausó temporalmente el mercado de YoUSD en Pendle antes de reactivarlo después de la recapitalización.
El incidente generó rápidamente críticas en las redes sociales, con algunos usuarios cuestionando los controles de riesgo del protocolo y cómo se ejecutó el intercambio. Numerosos observadores acusaron al equipo de negligencia por permitir que se realizara dicha transacción.
YO no ha publicado una explicación pública completa hasta la fecha de cierre de la edición. The Defiant se ha puesto en contacto con el equipo para solicitar comentarios, pero aún no ha recibido respuesta.