Puntos clave de la noticia:
- Blockaid detectó código malicioso Eleven drainer en el subdominio vote.yieldyak.com de Yield Yak el 24 de junio de 2026.
- No se habían confirmado pérdidas, pero usuarios que conectaron wallets o firmaron transacciones en el subdominio afectado podrían estar expuestos.
- El incidente sigue un compromiso similar en un subdominio de Gitcoin y encaja en una ola más amplia de ataques front-end wallet-drainer contra plataformas DeFi este año.
Yield Yak se convirtió en la más reciente plataforma DeFi atrapada en un incidente front-end de wallet-drainer, después de que Blockaid detectara código malicioso en el subdominio de votación del proyecto el 24 de junio de 2026. La página comprometida, vote.yieldyak.com, había sido inyectada con el script Eleven drainer, una herramienta de robo de wallets diseñada para empujar a los usuarios a aprobar transacciones hostiles cuando conectan una wallet. El detalle incómodo es que el ataque no necesitó romper los smart contracts de Yield Yak, porque el peligro estaba en la capa web donde los usuarios empiezan a interactuar con el protocolo, confiando en prompts rutinarios y branding familiar durante visitas DeFi.
🚨Blockaid's system has identified a front-end attack on yieldyak[.]com by @yieldyak_. The site's subdomain – vote[.]yieldyak[.]com now contains code of eleven drainer.
This follows yesterday's incident on @gitcoin which has operated in a similar way pic.twitter.com/YFmWEYfa7D
— Blockaid (@blockaid_) June 24, 2026
El daño conocido sigue siendo incierto. Ni Yield Yak ni Blockaid habían publicado cifras confirmadas de pérdidas al momento de la publicación, y ningún investigador blockchain público había establecido la escala de un posible robo vinculado al compromiso. Aun así, la ausencia de una cifra no significa ausencia de riesgo. Las investigaciones de ataques front-end pueden tomar horas o días mientras los equipos mapean interacciones de wallets e identifican aprobaciones maliciosas. Para los usuarios, la exposición depende de si visitaron el subdominio comprometido, conectaron una wallet o firmaron una transacción mientras el código malicioso estaba activo durante la ventana de investigación y antes de que se difundieran las alertas públicas.
Los subdominios se convierten en la nueva superficie de ataque
El incidente parece seguir el mismo guion visto días antes contra Gitcoin, cuando Blockaid advirtió que files.gitcoin.co también había sido comprometido con código Eleven drainer. En ambos casos, los atacantes apuntaron a subdominios secundarios en lugar de la interfaz principal de la aplicación. El producto principal de Yield Yak, un protocolo de yield farming auto-compuesto y agregador de exchange descentralizado basado en Avalanche, siguió separado de la página de votación. Esa distinción importa porque la brecha apuntó a puntos de acceso de usuarios, no al protocolo subyacente, aunque cualquier persona que interactuara mediante la página contaminada aún podía enfrentar pérdidas a nivel de wallet antes de que terminara la remediación y se revocaran aprobaciones.
El patrón más amplio es difícil de ignorar. OpenEden, Curvance y Maple Finance sufrieron ataques front-end en una misma semana de febrero usando un toolkit diferente llamado AngelFerno, mientras abril trajo actividad de drainers todavía más agresiva tras incidentes que involucraron a Drift Protocol, KelpDAO y otros. Blockaid describió abril de 2026 como el peor mes registrado para robos cripto, con más de $629 millones drenados en más de 20 incidentes. Por ahora, los usuarios de Yield Yak enfrentan una lista de seguridad conocida pero urgente: evitar páginas afectadas, revocar aprobaciones sospechosas y monitorear wallets por transferencias no autorizadas mientras los equipos evalúan exposición y avance de limpieza.
