Yearn Finance kembali diserang, kolam yETH mengalami kerugian 3 juta USD ETH telah ditransfer ke Tornado Cash

Protokol penghasilan DeFi terkenal Yearn Finance mengalami serangan pada kolam token liquid staking yETH. Penyerang menguras kolam dengan mencetak yETH tanpa batas, meraih keuntungan sekitar 3 juta dolar AS dalam ETH dan mentransfernya ke pencampur Tornado Cash. Peristiwa ini menyebabkan kerugian besar pada kolam yETH, yang nilainya sekitar 11 juta dolar AS sebelum serangan. Pihak Yearn telah mengonfirmasi bahwa mereka sedang menyelidiki masalah ini dan menekankan bahwa Yearn Vaults tidak terpengaruh, ini merupakan krisis keamanan kedua bagi Yearn setelah insiden kerentanan yDAI pada tahun 2021.

Analisis Lengkap Insiden Serangan

Data blockchain menunjukkan bahwa pada 14 Desember, kolam token likuiditas yETH dari Yearn Finance mengalami serangan yang direncanakan dengan cermat, di mana penyerang memanfaatkan celah kontrak untuk mencetak yETH hampir tanpa batas, dan dalam satu transaksi mengosongkan seluruh kolam dana. yETH, sebagai token indeks yang mengagregasi berbagai token likuiditas populer, dirancang untuk memberikan solusi hasil staking Ethereum yang terintegrasi bagi pengguna, dan celah ini secara langsung mengancam mekanisme inti dari produk tersebut.

Selama proses serangan, penyerang menerapkan beberapa kontrak pintar baru untuk melaksanakan alur serangan, beberapa kontrak segera menghancurkan diri setelah transaksi selesai, metode operasi semacam ini jelas bertujuan untuk menyembunyikan jejak serangan dan meningkatkan kesulitan pelacakan. Akhirnya, penyerang berhasil mentransfer 1000 ETH (setara dengan sekitar 3 juta dolar AS berdasarkan harga saat itu) ke protokol pencampuran Tornado Cash, tindakan ini semakin memutuskan keterlacakan aliran dana.

Serangan ini awalnya ditemukan oleh pengguna platform X, Togbe, yang memperhatikan aktivitas abnormal saat memantau transfer besar. Togbe mengungkapkan kepada media: “Data transfer bersih menunjukkan bahwa fungsi super minting yETH memungkinkan penyerang menguras dana kolam, meraih keuntungan sekitar 1000 koin ETH. Meskipun sebagian ETH牺牲 selama proses serangan, penyerang masih berhasil mendapatkan keuntungan.” Temuan ini segera mengingatkan komunitas untuk memperhatikan peristiwa keamanan ini.

serangan pada titik waktu kunci

• Eksploitasi celah: Penyerang memanfaatkan fungsi pencetakan super yang tidak sah untuk mencetak yETH tanpa batas.
• Penarikan dana: penarikan tunggal dari kolam yETH, bernilai sekitar 11 juta dolar AS
• Transfer dana: 1000 koin ETH (sekitar 3 juta dolar AS) ditransfer ke Tornado Cash
• Jejak Tersembunyi: Beberapa kontrak serangan menghancurkan diri sendiri, meningkatkan kesulitan penyelidikan

Analisis Mendalam Mekanisme Kerentanan Teknologi

Dari analisis teknis, inti kerentanan dari serangan kali ini terletak pada cacat kontrol izin pencetakan kontrak yETH. Penyerang tampaknya telah menemukan cara untuk menghindari batasan pencetakan normal, yang memicu fungsi “super minting” yang seharusnya diaktifkan di bawah kondisi yang ketat, tetapi secara tidak sengaja diakses oleh pihak yang tidak berwenang. Indeks token staking likuiditas itu sendiri melibatkan desain ekonomi token yang kompleks, dan setiap kerentanan izin dapat mengakibatkan konsekuensi yang bencana.

Kontrak deployment baru yang digunakan oleh penyerang dengan mode self-destruct menunjukkan ciri khas operasi hacker profesional. Dengan menggunakan kontrak sekali pakai, penyerang tidak hanya berhasil menyembunyikan logika serangan, tetapi juga secara signifikan meningkatkan kesulitan untuk forensik setelahnya. Ahli keamanan blockchain menunjukkan bahwa metode ini memerlukan pemahaman mendalam dari penyerang tentang arsitektur kontrak Yearn, yang mungkin merupakan hasil dari kebocoran kode internal atau penelitian yang telah lama dilakukan.

Perlu dicatat bahwa yETH sebagai agregator dari berbagai Token liquid staking, stabilitas harganya bergantung pada pengikatan yang tepat dari aset dasar. Ketika penyerang mencetak yETH tanpa batas, aset dalam kolam akan banyak ditukar menjadi koin likuiditas tinggi lainnya, yang pada akhirnya dikonversi menjadi ETH untuk ditarik. Jalur serangan ini mengekspos risiko titik kegagalan tunggal dalam desain token indeks, yaitu jika fungsi pembuatan inti dilanggar, seluruh model ekonomi akan cepat runtuh.

Sejarah Keamanan Yearn dan Tanggapan Darurat

Yearn Finance dengan cepat merilis pernyataan resmi melalui platform X setelah kejadian tersebut: “Kami sedang menyelidiki kejadian yang melibatkan kolam pertukaran stabil yETH LST, Yearn Vaults (termasuk versi V2 dan V3) tidak terpengaruh.” Tanggapan cepat ini membantu menstabilkan emosi komunitas, tetapi tidak dapat segera memulihkan kerugian dana. Tim saat ini sedang melakukan tinjauan menyeluruh terhadap kode kontrak, menilai penyebab mendasar dari celah tersebut.

Merefleksikan sejarah keamanan Yearn, ini bukanlah pertama kalinya protokol tersebut mengalami kerentanan besar. Pada tahun 2021, brankas yDAI Yearn diserang, mengakibatkan kerugian senilai 11 juta dolar AS, dan penyerang akhirnya memperoleh keuntungan 2,8 juta dolar AS. Pada bulan Desember 2023, Yearn pernah mengalami kerugian 63% pada salah satu posisi brankas akibat kesalahan skrip, untungnya tidak ada dana pengguna yang terpengaruh saat itu. Serangkaian kejadian keamanan ini memicu keraguan terhadap kualitas kode Yearn.

Yang lebih menarik perhatian adalah bahwa pendiri Yearn, Andre Cronje, telah meninggalkan tim dua tahun setelah peluncuran proyek, dan ketidakhadirannya menjadi fokus diskusi komunitas mengenai apakah hal itu mempengaruhi peta jalan pengembangan keamanan protokol. Meskipun tim pengembang Yearn selanjutnya terus aktif memelihara protokol, kepergian pendiri jelas berdampak mendalam pada arah perkembangan teknis proyek. Saat ini, tim Yearn belum mengumumkan rencana kompensasi konkret atau jadwal perbaikan kerentanan.

Ekosistem Keamanan DeFi dan Saran Perlindungan Pengguna

Kejadian serangan yETH kali ini sekali lagi menyoroti tantangan keamanan yang dihadapi di bidang DeFi. Menurut statistik dari lembaga keamanan blockchain, kerugian di bidang DeFi akibat kerentanan dan serangan telah melebihi 400 juta dolar AS pada paruh pertama tahun 2024, di mana cacat logika kontrak dan kontrol akses yang tidak tepat adalah vektor serangan utama. Produk derivatif liquid staking sebagai jalur baru, memiliki struktur produk yang kompleks yang lebih mudah menjadi target hacker.

Bagi pengguna DeFi biasa, peristiwa ini memberikan wawasan penting tentang pencegahan risiko. Saat berpartisipasi dalam produk seperti token indeks atau agregator, penting untuk memahami situasi audit keamanan proyek secara menyeluruh, terutama memperhatikan pengaturan izin untuk fungsi inti pencetakan dan penebusan. Sementara itu, diversifikasi investasi tetap menjadi strategi efektif untuk mengurangi risiko dari protokol tunggal, menghindari paparan berlebihan pada protokol atau produk tertentu.

Dari perspektif industri, serangan ini mungkin mempercepat pengembangan produk asuransi DeFi. Protokol asuransi seperti Nexus Mutual telah mulai memberikan perlindungan untuk berbagai produk DeFi, sementara solusi kustodian tingkat institusi juga sedang menjelajahi layanan asuransi untuk kerentanan kontrak pintar. Seiring dengan kerangka regulasi yang semakin jelas, standar keamanan proyek DeFi diharapkan akan beralih dari audit sukarela ke sertifikasi yang wajib, memberikan perlindungan yang lebih komprehensif bagi pengguna.

Keuangan Desentralisasi industri terus membunyikan alarm

Kejadian serangan pada kolam yETH Yearn Finance tidak hanya mengekspos kerentanan produk DeFi yang kompleks di lapisan keamanan kode, tetapi juga memicu pemikiran mendalam tentang keberlanjutan derivatif liquid staking. Setelah Ethereum menyelesaikan transformasi ke bukti kepemilikan, jalur liquid staking menjadi arena percobaan yang penuh inovasi dan risiko, dan kerugian senilai 3 juta USD ini sekali lagi mengingatkan industri: dalam mengejar optimalisasi hasil, infrastruktur keamanan dasar tidak boleh diabaikan.

Seiring dengan berlanjutnya penyelidikan, tim Yearn menghadapi bukan hanya tantangan perbaikan teknis, tetapi juga tugas jangka panjang untuk membangun kembali kepercayaan komunitas. Bagi seluruh ekosistem DeFi, peristiwa ini mungkin menjadi kesempatan penting untuk mendorong standarisasi proses audit keamanan dan penyempurnaan program hadiah bug. Hanya melalui upaya kolektif untuk meningkatkan ambang keamanan, kita dapat membangun infrastruktur keuangan terdesentralisasi yang lebih tangguh.