Ing tanggal 30 November 2025 kira-kira jam 21:11 UTC, sawijining panyerang nggunakake vulnerabilitas minting ing kontrak token yETH sing lawas saka Yearn Finance. Kanthi nggawe kira-kira 235 triliun token yETH ing siji transaksi, panyerang bisa nglumpukake kira-kira $8 yuta saka kolam stableswap utama lan $0,9 yuta saka kolam yETH-WETH ing Curve, total meh $9 yuta rugi. Dana sing kira-kira 1.000 ETH banjur dialirake liwat mixer Tornado Cash kanggo nggelar jejak.
Yearn Finance kanthi cepet ngandharake kejadian kasebut, nerangake manawa eksploit iki mung nyakup implementasi stable-swap kustom kanggo yETH sing lawas lan ora ngancem infrastruktur Vault V2 utawa V3, sing bebarengan nglumpukaké nilai terkunci total luwih saka $600 yuta. Kejadian iki dadi pelanggaran keamanan paling anyar ing sejarah protokol Yearn, sawisé eksploit ing taun 2021 lan masalah gegandhengan karo multisignature ing taun 2023, lan nggedhekake tantangan terus ana babagan ngamanake kode warisan.
Analisis blockchain dening perusahaan keamanan SEAL 911 lan ChainSecurity nuduhake deployment kontrak pembantu sing sifaté sementara sing self-destruct sawisé eksekusi, sing ngganggu upaya forensik. Panyerang nggunakake kontrak-kontrak iki kanggo nggedhekake pasokan yETH lan njupuk aset nyata tanpa ngaktifaké wates mint standar. Peringatan on-chain langsung nandhesaké anomali kasebut, lan komunitas tata kelola Yearn wiwit rembug opsi restitusi sakwise kuwi.
Sawisé eksploit kasebut, token asli protokol YFI ngalami penurunan rega sing mendadak kira-kira 5,5%, nglambangaké turunnya kapercayan investor lan panurunan sementara ing proyeksi pendapatan protokol. Volume perdagangan mundhak amarga bot arbitrage lan pedagang reaktif ngasilaké kasempatan saka bedha rega, sing nambah volatilitas ing pasar-pasar sing gegandhengan karo Yearn.
Minangka tanggepan, Yearn Finance miwiti rencana remediasi sing multifase, kalebu usulan tata kelola kanggo ngotorisasi Merkle airdrop USDC senilai $3,2 yuta marang pihak sing kena pengaruh, implementasi patch v1.1 kanggo nglaksanani watesan mint, lan panyebaran alat pemantauan wektu nyata ing kabeh kolam stable-swap. Bonus bug senilai $500.000 uga ditawakake kanggo temuan sing gegandhungan, kanthi tujuan nguatake keamanan kode lan mulihake kapercayan pangguna.
Eksploit iki dadi pangeling-eling bab risiko sing ana nalika njaga kontrak DeFi sing lawas barengan karo standar protokol sing terus berkembang. Arsitek protokol negesake rencana kanggo mbusak komponen warisan lan nggantos nganggo alternatif sing wis diaudit lan diverifikasi dening komunitas, nalika negesake ketahanan vault inti. Pengamat nyatet yen kerentanan mint tanpa wates isih dadi vektor serangan krusial ing keuangan terdesentralisasi, nyuwun panjaluk kanggo kerangka keamanan standar lan tinjauan pihak katelu sing terus-terusan.
Senadyan pelanggaran kasebut, likuiditas ing vault V2 lan V3 Yearn tetep utuh, ora ana gangguan ing simpenan pangguna utawa operasi. Para pelaku pasar ngawasi diskusi tata kelola lan temuan audit kanthi teliti, ngira-ngira potensi implikasi jangka panjang kanggo tokenomics protokol lan ekosistem DeFi sing luwih wiyar. Kedadéan iki negesake pentinge praktik keamanan sing waspada lan respons insiden sing cepet kanggo nglindhungi infrastruktur keuangan terdesentralisasi.
Komentar (0)