Pada 30 November 2025 sekitar pukul 21:11 UTC, seorang penyerang mengeksploitasi kerentanan minting pada kontrak token yETH warisan milik Yearn Finance. Dengan membuat sekitar 235 triliun token yETH dalam satu transaksi, penyerang berhasil menarik sekitar $8 juta dari kolam stable-swap utama dan $0,9 juta dari kolam yETH-WETH di Curve, sehingga total kerugiannya mendekati $9 juta. Dana yang setara dengan sekitar 1.000 ETH kemudian diarahkan melalui mixer Tornado Cash untuk mengaburkan jejaknya.
Yearn Finance dengan cepat mengonfirmasi kejadian tersebut, menjelaskan bahwa eksploitasi tersebut hanya memengaruhi implementasi stable-swap kustom untuk yETH warisan dan tidak mengompromikan infrastruktur Vault V2 atau V3, yang secara kolektif menjaga total nilai terkunci melebihi $600 juta. Insiden ini merupakan pelanggaran keamanan terbaru dalam sejarah protokol Yearn, menyusul eksploit sebelumnya pada tahun 2021 dan masalah terkait multisignature pada tahun 2023, serta menekankan tantangan berkelanjutan dalam menjaga kode warisan.
Analisis blockchain oleh perusahaan keamanan SEAL 911 dan ChainSecurity menunjukkan peluncuran kontrak pembantu sementara yang otomatis menghancurkan diri setelah eksekusi, sehingga menyulitkan upaya forensik. Penyerang memanfaatkan kontrak-kontrak ini untuk meningkatkan pasokan yETH dan mengekstrak aset nyata tanpa memicu perlindungan batas mint standar. Peringatan on-chain langsung menandai anomali tersebut, dan komunitas tata kelola Yearn segera mulai membahas opsi restitusi tak lama kemudian.
Setelah eksploitasi, token asli protokol YFI mengalami penurunan harga mendadak sekitar 5,5%, mencerminkan penurunan kepercayaan investor dan penurunan sementara pada proyeksi pendapatan protokol. Volume perdagangan melonjak karena bot arbitrase dan trader responsif memanfaatkan perbedaan harga, sehingga mempercepat volatilitas di pasar yang terkait Yearn.
Sebagai respons, Yearn Finance meluncurkan rencana pemulihan berlapis, termasuk proposal tata kelola untuk mengotorisasi airdrop USDC Merkle senilai $3,2 juta kepada pemangku kepentingan yang terdampak, implementasi patch v1.1 untuk menegakkan batas mint, dan penerapan alat pemantauan waktu nyata di semua kolam stable-swap. Program bug bounty senilai $500.000 juga ditawarkan untuk temuan terkait, dengan tujuan memperkuat keamanan kode dan memulihkan kepercayaan pengguna.
Ekploit ini mengingatkan akan risiko yang melekat pada pemeliharaan kontrak DeFi warisan bersamaan dengan standar protokol yang terus berkembang. Arsitek protokol menekankan rencana untuk menghentikan komponen warisan demi alternatif yang diaudit dan divalidasi komunitas, sambil menyoroti ketahanan vault inti. Pengamat mencatat bahwa kerentanan mint tanpa batas tetap menjadi vektor serangan krusial dalam keuangan terdesentralisasi, mendorong seruan untuk kerangka kerja keamanan standar dan tinjauan pihak ketiga secara berkelanjutan.
Meskipun terjadi pelanggaran, likuiditas di vault V2 dan V3 Yearn tetap utuh, tanpa gangguan pada setoran atau operasi pengguna. Pelaku pasar memantau diskusi tata kelola dan temuan audit dengan cermat, menilai dampak jangka panjang potensial pada tokenomics protokol dan ekosistem DeFi secara lebih luas. Insiden ini menekankan pentingnya praktik keamanan yang waspada dan respons insiden yang cepat dalam melindungi infrastruktur keuangan terdesentralisasi.
Komentar (0)