YO Protocol denuncia grave error en el cambio de moneda: en una operación de reequilibrio de activos, aproximadamente por valor de 384 millones de dólares en stkGHO, se intercambió accidentalmente a través de un pool extremo de Uniswap v4, recibiendo solo unos 12.2 millones de dólares en USDC, evaporando casi 370 millones de dólares en un instante.
(Resumen previo: ¡El protocolo TrueBit parece haber sido hackeado! 8,535 ETH transferidos de forma anómala, $TRU cortados de raíz)
(Información adicional: Hackers norcoreanos robaron un récord en 2025: 2,02 mil millones de dólares en criptomonedas, ciclo de lavado de aproximadamente 45 días)

Índice del artículo

• Desarrollo del incidente
• Respuesta rápida del equipo de YO Protocol
• Resumen de la causa raíz del incidente

La firma de seguridad blockchain BlockSec publicó recientemente que el protocolo DeFi YO Protocol sufrió el 13 de enero de 2026 un grave error de cambio de moneda. Esto no fue una vulnerabilidad típica de contrato inteligente ni un ataque de hackers, sino un error grave en el proceso operativo que llevó a una pérdida de aproximadamente 370 millones de dólares, ya que solo se lograron obtener unos 12.2 millones de dólares en USDC tras intercambiar stkGHO (el token GHO en staking en Aave) por USDC.

YO protocol (@yield) sufrió un intercambio extraño en #Ethereum: ~$3.84M en stkGHO terminó como solo ~$122K USDC. El equipo tomó medidas, incluyendo comprar GHO y volver a depositar stkGHO en la bóveda.

Nuestra investigación sugiere que la discrepancia puede haber resultado de dos… pic.twitter.com/ttbZwv5zEt

— BlockSec Phalcon (@Phalcon_xyz) 13 de enero de 2026

Desarrollo del incidente

Según análisis en cadena de varios equipos de seguridad como BlockSec, el incidente se originó en una operación de reequilibrio de activos realizada por el operador (o keeper automatizado) del Yo Vault en YO Protocol: intercambiar aproximadamente 3.84 millones de dólares en stkGHO por USDC. La transacción originalmente debía buscar la mejor ruta mediante un agregador, pero fue dirigida a un pool de Uniswap v4 con liquidez extremadamente escasa y tarifas muy altas (o que utilizaba hooks personalizados).

Debido a una selección de ruta anómala, además de que el iniciador pudo haber configurado una tolerancia de deslizamiento demasiado alta (o sin protección alguna), se produjeron impactos de precio extremos y se extrajeron enormes tarifas. Finalmente, la mayor parte del valor fue capturado por los proveedores de liquidez (LP) de ese pool de Uniswap v4, dejando solo unos 11.2 a 12.2 millones de dólares en USDC en manos del protocolo.

Respuesta rápida del equipo de YO Protocol

Tras el incidente, el equipo de YO Protocol tomó medidas en pocas horas:

• Recomprar aproximadamente 3.71 millones de dólares en GHO mediante un agregador CoW Swap con protección MEV.
• Depositar nuevamente en la bóveda el stkGHO equivalente, restaurando rápidamente la liquidez.
• Suspender temporalmente el mercado de YoUSD en Pendle, para reequilibrar y reabrir posteriormente.

Además, el equipo dejó un mensaje en la cadena proponiendo una colaboración con los LP que capturaron beneficios: sugerir que los LP retengan un 10% como recompensa por la vulnerabilidad, y devolver amistosamente el resto, buscando resolver la disputa en privado.

Resumen de la causa raíz del incidente

Este incidente no revela una vulnerabilidad en el contrato de YO Protocol en sí, sino que es un resultado típico de riesgos operativos y las particularidades del mecanismo de hooks en Uniswap v4. Los factores principales incluyen:

• Errores en scripts automatizados o en la selección de rutas del agregador, que llevaron a ingresar en pools de configuración extrema (liquidez concentrada en un rango estrecho + hooks personalizados que pueden generar tarifas dinámicas altas o manipulación de precios).
• Falta de mecanismos de protección adecuados, como listas blancas de pools, límites de deslizamiento forzados, verificaciones de impacto en el precio, etc.
• Desde su lanzamiento en 2025, el mecanismo de hooks en Uniswap v4 ha traído innovación, pero también se ha convertido en un punto potencial de riesgo de “bomba de deslizamiento”, especialmente peligroso para transacciones de gran volumen.

Varios equipos de seguridad coinciden en que esto fue un “error operativo amplificado” y no un ataque malicioso, sirviendo como advertencia para que los protocolos DeFi refuercen significativamente sus medidas de seguridad en operaciones automatizadas de gran escala.