Dina tanggal 30 Nopémber 2025 kira-kira jam 21:11 UTC, hiji juru nyerang ngagunakeun kalemahan minting dina kontrak token yETH warisan ti Yearn Finance. Ku nyiptakeun kira-kira 235 triliun token yETH dina hiji transaksi, juru serang tiasa nyokot kira-kira USD 8 juta tina kolam stable-swap utama sarta USD 0,9 juta tina kolam yETH-WETH dina Curve, totalna ampir USD 9 juta rugi. Dana anu sarua kira-kira 1.000 ETH saterasna dialirkeun ngaliwatan mixer Tornado Cash pikeun nyingkahan jejakna.
Yearn Finance langsung mastikeun kajadian éta, ngajelaskeun yén eksploit éta ngan mangaruhan implementasi stable-swap khusus pikeun yETH warisan sarta teu ngarusak infrastruktur Vault V2 atawa V3, nu sacara gabungan ngandung nilai dikunci leuwih ti $600 juta. Kajadian ieu janten palanggaran kaamanan panganyarna dina sajarah protokol Yearn, sanggeus eksploitasi saméméhna dina 2021 jeung masalah patali multisignature dina 2023, sarta ngagambarkeun tangtangan anu teras aya dina ngajaga kode warisan.
Analisis blockchain ku firma kaamanan SEAL 911 jeung ChainSecurity nunjukkeun panyebaran kontrak-contoan pembantu samentawis anu sanggeus dieksekusi ngapus dirina sorangan, ngagampangkeun usaha forensik. Juru serang ngamangpaatkeun kontrak-kontrak ieu pikeun ngagedekeun pasokan yETH jeung nyokot aset nyata tanpa ngaktipkeun wates mint standar. Peringatan on-chain langsung nandakeun anomali éta, sarta komunitas pamaréntahan Yearn ngamimitian diskusi ngeunaan pilihan pambayaran deui teu lila saatosna.
Saatos eksploit éta, token YFI asli protokol ngalaman turun harga mendadak kira-kira 5,5%, ngagambarkeun turunna kapercayaan investor sarta panurunan samentara dina proyeksi pendapatan protokol. Volume dagang ngagedé kusabab bot arbitrage jeung pedagang anu reaktif ngamangpaatkeun mispricing, ngagancangkeun volatilitas di pasar-pasar anu patali jeung Yearn.
Saatna ngajawab kajadian éta, Yearn Finance ngajalankeun rencana rémediasi multi-tahap, kaasup usulan kapamimpinan pikeun ngotorisasi airdrop USDC Merkle senilai $3,2 juta ka pihak anu kapangaruhan, palaksanaan patch v1.1 pikeun nerapkeun wates mint, sarta panyebaran alat monitoring real-time di sakumna kolam stable-swap. Bug bounty sajumlah $500.000 ogé ditawarkeun pikeun panemuan patali, kalayan tujuan nguatkeun kaamanan kode jeung ngabalikeun kapercayaan pamaké.
Eksploit ieu janten pangeling-ngeling ngeunaan résiko anu aya dina ngajaga kontrak DeFi warisan kalayan standar protokol anu terus mekar. Arsitek protokol negeskeun rencana pikeun ngaleungitkeun komponén warisan ku alternatif anu geus diaudit jeung ditarima ku komunitas, bari negeskeun daya tahan vault inti. Pengamat ngingetkeun yén kerentanan mint anu teu aya watesna tetep janten vektor serangan kritis dina keuangan terdesentralisasi, nyorong kahayang pikeun kerangka kaamanan standar jeung tinjauan pihak-katilu sacara terus-menerus.
Sanaos pelanggaran éta, likuiditas dina vault V2 jeung V3 Yearn tetep utuh, teu aya gangguan dina setoran pangguna atawa operasi. Pamilon pasar ngawas diskusi kapamimpinan jeung hasil audit kalayan taliti, ngira-ngira potensi implikasi jangka panjang pikeun tokenomics protokol jeung ékosistem DeFi sacara umum. Kajadian ieu negeskeun pentingna prakték kaamanan anu wijaksana jeung réspon kajadian anu gancang dina ngajaga infrastruktur keuangan anu terdesentralisasi.
Komentar (0)