Yearn Finance mengalami serangan pencetakan tak terbatas dengan kerugian 9 juta dolar AS, metode yang mirip dengan peristiwa Balancer?

Protokol pendapatan desentralisasi Yearn Finance kembali mengalami insiden keamanan siber besar, di mana pool likuiditas Yearn Ether (yETH) diserang melalui kontrak hari ini. Penyerang memanfaatkan celah dalam kontrak penukaran stabil yang disesuaikan, berhasil melakukan operasi “pencetakan tanpa batas” dan menguras seluruh pool, yang akhirnya menyebabkan kerugian sekitar 9 juta dolar AS. Yearn menekankan bahwa insiden ini hanya terbatas pada satu kontrak kustom, produk Vault lainnya tidak terpengaruh.

Bagaimana serangan terjadi? Yearn mengalami serangan pencetakan tanpa batas, kehilangan 9 juta dolar.

Pengawas on-chain Togbe menunjukkan bahwa dia pertama kali mengamati banyak operasi mencurigakan terkait alamat yETH, termasuk penerapan kontrak sementara, jalur pertukaran yang aneh, dan banyak interaksi dengan Tornado Cash. Dia kemudian mengklarifikasi inti serangan ini, yaitu pada kontrak pertukaran stabil kustom (stableswap) yang digunakan oleh yETH.

Ia menunjukkan bahwa yETH itu sendiri adalah aset indeks yang dirancang oleh Yearn untuk mengintegrasikan berbagai LST, sementara penyerang menemukan celah dalam logika kontrak tersebut, yang memungkinkan mereka mencetak yETH hampir tanpa batas. Token-token ini kemudian ditukarkan menjadi aset nyata yang ada di dalam pool, termasuk ETH dan LST lainnya, sehingga seluruh pool dikuras dalam satu transaksi.

Kontrak telah dicetak dengan angka astronomis yETH

Menurut kabar, serangan tersebut terdiri dari beberapa kontrak pintar yang dikerahkan secara temporer. Beberapa kontrak tersebut langsung menghancurkan diri setelah menyelesaikan serangan, menunjukkan bahwa jalur serangan telah dievaluasi dengan cermat, dan juga meningkatkan kesulitan penyelidikan. Pada awalnya, publik hanya melihat sekitar 1.000 ETH ( sekitar 3 juta dolar AS ) yang ditransfer ke Tornado Cash, padahal sebenarnya kerugian dari seluruh kejadian jauh lebih besar.

Apakah pengaruhnya semakin besar? Yearn menekankan bahwa V2, V3, dan produk lainnya aman.

Yearn resmi segera mengeluarkan pengumuman, menyatakan bahwa kerugian utama pada pool mencapai sekitar 8 juta dolar AS, dan sekitar 900 ribu dolar AS berasal dari pool yETH-WETH di Curve, total kerugian mencapai sekitar 9 juta dolar AS.

Tim juga segera menenangkan pengguna, menekankan bahwa kejadian tersebut hanya berkaitan dengan kontrak kustom stabil (stableswap) yang digunakan oleh yETH, dan tidak melibatkan desain Vault utama yang dikerahkan oleh Yearn. Dengan kata lain, Vault V2 dan V3 tidak terpengaruh, dan produk terkait seperti yCRV, Katana, Morpho, dll. tetap beroperasi normal.

Untung di balik malang adalah, yETH tidak digunakan sebagai jaminan oleh berbagai protokol pinjaman di pasar, sehingga tidak memicu likuidasi berantai atau tekanan sistemik, dan dampaknya dapat dikendalikan dalam batas yang relatif terbatas.

Tim keamanan siber mengungkapkan bahwa, selain sebagian dana yang telah dicuci melalui Tornado Cash, alamat penyerang saat ini masih memiliki sekitar 6 juta dolar yang belum dipindahkan, kemungkinan masih mengawasi perkembangan penyelidikan.

Metode serupa dengan serangan Balancer, penyelidikan lebih lanjut masih berlangsung.

Tim Yearn menyatakan bahwa kompleksitas serangan ini cukup tinggi, bahkan memiliki beberapa kesamaan dengan peristiwa Balancer baru-baru ini, termasuk interaksi kontrak berlapis, logika transaksi, serta pemahaman mendalam tentang model penetapan harga kurva. Pihak resmi sedang melakukan penyelidikan menyeluruh bersama beberapa mitra audit ChainSecurity untuk segera merilis laporan lengkap lebih lanjut.

(Balancer reaksi berantai? Stream Finance mengalami kerugian 93 juta dolar, xUSD terputus dari nilai )

Artikel ini membahas tentang Yearn Finance yang mengalami serangan pencetakan tanpa batas dan kehilangan 9 juta dolar AS, dengan metode yang mirip dengan kejadian Balancer? Pertama kali muncul di Berita Blockchain ABMedia.