{"id":159953,"date":"2026-06-24T16:17:34","date_gmt":"2026-06-24T16:17:34","guid":{"rendered":"https:\/\/crypto-economy.com\/es\/?p=159953"},"modified":"2026-06-24T16:17:37","modified_gmt":"2026-06-24T16:17:37","slug":"yield-yak-sufre-una-brecha-front-end","status":"publish","type":"post","link":"https:\/\/crypto-economy.com\/es\/yield-yak-sufre-una-brecha-front-end\/","title":{"rendered":"Yield Yak sufre una brecha front-end en la \u00faltima ola de ataques wallet-drainer"},"content":{"rendered":"<p class=\"isSelectedEnd\" style=\"text-align: justify\">Puntos clave de la noticia:<\/p>\n<ul style=\"text-align: justify\" data-spread=\"false\">\n<li>Blockaid detect\u00f3 c\u00f3digo malicioso Eleven drainer en el subdominio vote.yieldyak.com de Yield Yak el 24 de junio de 2026.<\/li>\n<li>No se hab\u00edan confirmado p\u00e9rdidas, pero usuarios que conectaron wallets o firmaron transacciones en el subdominio afectado podr\u00edan estar expuestos.<\/li>\n<li>El incidente sigue un compromiso similar en un subdominio de Gitcoin y encaja en una ola m\u00e1s amplia de ataques front-end wallet-drainer contra plataformas DeFi este a\u00f1o.<\/li>\n<\/ul>\n<hr \/>\n<p class=\"isSelectedEnd\" style=\"text-align: justify\">Yield Yak se convirti\u00f3 en la m\u00e1s reciente plataforma DeFi atrapada en un incidente front-end de wallet-drainer, despu\u00e9s de que Blockaid <a href=\"https:\/\/twitter.com\/blockaid_\/status\/2069630359973539844\" target=\"_blank\" rel=\"noopener\">detectara<\/a> c\u00f3digo malicioso en el subdominio de votaci\u00f3n del proyecto el 24 de junio de 2026. La p\u00e1gina comprometida, vote.yieldyak.com, hab\u00eda sido inyectada con el script Eleven drainer, una herramienta de robo de wallets dise\u00f1ada para empujar a los usuarios a aprobar transacciones hostiles cuando conectan una wallet. El detalle inc\u00f3modo es que <strong>el ataque no necesit\u00f3 romper los smart contracts de Yield Yak<\/strong>, porque el peligro estaba en la capa web donde los usuarios empiezan a interactuar con el protocolo, confiando en prompts rutinarios y branding familiar durante visitas <a href=\"https:\/\/crypto-economy.com\/es\/defi-finanzas-descentralizadas\/\" target=\"_blank\" rel=\"noopener\">DeFi<\/a>.<\/p>\n<p style=\"text-align: justify\"><!--more--><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\ud83d\udea8Blockaid&#39;s system has identified a front-end attack on yieldyak[.]com by <a href=\"https:\/\/x.com\/yieldyak_?ref_src=twsrc%5Etfw\">@yieldyak_<\/a>. The site&#39;s subdomain &#8211; vote[.]yieldyak[.]com now contains code of eleven drainer.<\/p>\n<p>This follows yesterday&#39;s incident on <a href=\"https:\/\/x.com\/gitcoin?ref_src=twsrc%5Etfw\">@gitcoin<\/a>  which has operated in a similar way <a href=\"https:\/\/t.co\/YFmWEYfa7D\">pic.twitter.com\/YFmWEYfa7D<\/a><\/p>\n<p>&mdash; Blockaid (@blockaid_) <a href=\"https:\/\/x.com\/blockaid_\/status\/2069630359973539844?ref_src=twsrc%5Etfw\">June 24, 2026<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.x.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p class=\"isSelectedEnd\" style=\"text-align: justify\">El da\u00f1o conocido sigue siendo incierto. Ni Yield Yak ni <a href=\"https:\/\/crypto-economy.com\/es\/metamask-refuerza-seguridad-con-blockaid\/\" target=\"_blank\" rel=\"noopener\">Blockaid<\/a> hab\u00edan publicado cifras confirmadas de p\u00e9rdidas al momento de la publicaci\u00f3n, y ning\u00fan investigador blockchain p\u00fablico hab\u00eda establecido la escala de un posible robo vinculado al compromiso. Aun as\u00ed, la ausencia de una cifra no significa ausencia de riesgo. Las investigaciones de ataques front-end pueden tomar horas o d\u00edas mientras los equipos mapean interacciones de wallets e identifican aprobaciones maliciosas. Para los usuarios, <strong>la exposici\u00f3n depende de si visitaron el subdominio comprometido<\/strong>, conectaron una wallet o firmaron una transacci\u00f3n mientras el c\u00f3digo malicioso estaba activo durante la ventana de investigaci\u00f3n y antes de que se difundieran las alertas p\u00fablicas.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-159965 size-full\" src=\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/06\/Yield-Yak-Suffers-Breach-1.jpg\" alt=\"\" width=\"1024\" height=\"300\" srcset=\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/06\/Yield-Yak-Suffers-Breach-1.jpg 1024w, https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/06\/Yield-Yak-Suffers-Breach-1-300x88.jpg 300w, https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/06\/Yield-Yak-Suffers-Breach-1-768x225.jpg 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2 style=\"text-align: left\">Los subdominios se convierten en la nueva superficie de ataque<\/h2>\n<p class=\"isSelectedEnd\" style=\"text-align: justify\">El incidente parece seguir el mismo guion visto d\u00edas antes contra <a href=\"https:\/\/crypto-economy.com\/es\/gitcoin-evoluciona-de-bienes-publicos-a-una-potencia-fundamental-en-la-infraestructura-de-ethereum\/\" target=\"_blank\" rel=\"noopener\">Gitcoin<\/a>, cuando Blockaid advirti\u00f3 que files.gitcoin.co tambi\u00e9n hab\u00eda sido comprometido con c\u00f3digo Eleven drainer. En ambos casos, los atacantes apuntaron a subdominios secundarios en lugar de la interfaz principal de la aplicaci\u00f3n. El producto principal de Yield Yak, un protocolo de yield farming auto-compuesto y agregador de exchange descentralizado basado en Avalanche, sigui\u00f3 separado de la p\u00e1gina de votaci\u00f3n. Esa distinci\u00f3n importa porque <strong>la brecha apunt\u00f3 a puntos de acceso de usuarios, no al protocolo subyacente<\/strong>, aunque cualquier persona que interactuara mediante la p\u00e1gina contaminada a\u00fan pod\u00eda enfrentar p\u00e9rdidas a nivel de wallet antes de que terminara la remediaci\u00f3n y se revocaran aprobaciones.<\/p>\n<p style=\"text-align: justify\">El patr\u00f3n m\u00e1s amplio es dif\u00edcil de ignorar. OpenEden, Curvance y Maple Finance sufrieron ataques front-end en una misma semana de febrero usando un toolkit diferente llamado AngelFerno, mientras abril trajo actividad de drainers todav\u00eda m\u00e1s agresiva tras incidentes que involucraron a <a href=\"https:\/\/crypto-economy.com\/es\/drift-protocol-detalla-su-plan-de-recuperacion-para-usuarios-antes-del-relanzamiento-y-el-voto-de-gobernanza\/\" target=\"_blank\" rel=\"noopener\">Drift Protocol<\/a>, <a href=\"https:\/\/crypto-economy.com\/es\/tras-el-hackeo-a-kelpdao-aave-presenta-un-nuevo-marco-de-gestion-de-riesgos\/\" target=\"_blank\" rel=\"noopener\">KelpDAO<\/a> y otros. Blockaid describi\u00f3 abril de 2026 como el peor mes registrado para robos cripto, con m\u00e1s de $629 millones drenados en m\u00e1s de 20 incidentes. Por ahora, <strong>los usuarios de Yield Yak enfrentan una lista de seguridad conocida pero urgente<\/strong>: evitar p\u00e1ginas afectadas, revocar aprobaciones sospechosas y monitorear wallets por transferencias no autorizadas mientras los equipos eval\u00faan exposici\u00f3n y avance de limpieza.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Puntos clave de la noticia: Blockaid detect\u00f3 c\u00f3digo malicioso Eleven drainer en el subdominio vote.yieldyak.com de Yield Yak el 24 de junio de 2026. No se hab\u00edan confirmado p\u00e9rdidas, pero usuarios que conectaron wallets o firmaron transacciones en el subdominio afectado podr\u00edan estar expuestos. El incidente sigue un compromiso similar en un subdominio de Gitcoin &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Yield Yak sufre una brecha front-end en la \u00faltima ola de ataques wallet-drainer\" class=\"read-more button\" href=\"https:\/\/crypto-economy.com\/es\/yield-yak-sufre-una-brecha-front-end\/#more-159953\" aria-label=\"Leer m\u00e1s sobre Yield Yak sufre una brecha front-end en la \u00faltima ola de ataques wallet-drainer\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":50,"featured_media":159964,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_title":"","rank_math_description":"El subdominio de votaci\u00f3n de Yield Yak fue afectado por c\u00f3digo Eleven drainer, ampliando la ola de ataques front-end en DeFi.","footnotes":""},"categories":[956,971],"tags":[4724,8844],"class_list":["post-159953","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-defi","category-noticias","tag-exploit","tag-yield-yak"],"_links":{"self":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/159953","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/comments?post=159953"}],"version-history":[{"count":2,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/159953\/revisions"}],"predecessor-version":[{"id":159966,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/159953\/revisions\/159966"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media\/159964"}],"wp:attachment":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media?parent=159953"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/categories?post=159953"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/tags?post=159953"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}