Yearn Finance Mengonfirmasi Kehilangan $9 Juta Setelah Insiden Pencetakan YETH yang Tidak Sah

Seorang penyerang mengeksploitasi kontrak yETH lama dan menguras hampir $9 juta di dua pool likuiditas.

Sekitar $3 juta ETH yang dicuri telah dipindahkan melalui Tornado Cash, sementara $6 juta masih berada di dompet penyerang.

Yearn Finance mengonfirmasi bahwa masalah ini hanya mempengaruhi produk legacy sementara penyelidikan terus berlanjut tanpa rencana pemulihan yang diumumkan.

Yearn Finance melaporkan insiden keamanan besar setelah seorang penyerang mendapatkan akses ke pool kustom dan menciptakan volume tak terbatas dari token yETH. Peristiwa ini menyebabkan kerugian hampir $9 juta dan memicu upaya penyelidikan segera. Platform menyatakan bahwa masalah ini melibatkan produk warisan dan tidak mempengaruhi vault aktif. Pelanggaran ini memicu pengawasan baru di seluruh sektor keuangan terdesentralisasi saat penyelidik melacak pergerakan aset yang dicuri.

Pembuatan Token yang Tidak Sah Memungkinkan Penarikan Aset Besar

Peristiwa tersebut terjadi pada 30 November pukul 21:11 UTC ketika seorang penyerang menargetkan kontrak yang terkait dengan token yETH dari Yearn. Penyidik menyatakan bahwa kontrak tersebut menggunakan desain unik yang berbeda dari penawaran utama platform. Desain ini menciptakan celah yang memungkinkan penyerang untuk mencetak token yETH jauh melampaui batas yang dimaksudkan. Pencetakan yang berlebihan kemudian memungkinkan penarikan langsung dari pool likuiditas yang terhubung.

Penyerang menghapus sekitar $8 juta dari pool stableswap utama. Selain itu, penyerang mengekstrak sekitar $0,9 juta dari pool yETH-WETH yang dihosting di Curve. Kerugian gabungan mencapai hampir $9 juta. Insiden ini terjadi dalam satu eksekusi, yang dijelaskan oleh penyelidik sebagai pengurasan cepat dari likuiditas yang tersedia.

Pergerakan Dana Melalui Tornado Cash Mengikuti Serangan

Segera setelah penarikan yang tidak sah, kelompok pelacakan mengamati penyerang mentransfer sebagian dari dana yang dicuri. Analis di PeckShieldAlert melaporkan bahwa penyerang memindahkan sekitar 1.000 ETH, senilai sekitar $3 juta, melalui Tornado Cash. Layanan ini umumnya memungkinkan pengaburan transaksi, yang membatasi visibilitas ke tujuan langkah berikutnya.

Penyerang tetap mengendalikan sisa aset. Catatan dompet menunjukkan sekitar $6 juta dalam berbagai token yang masih dipegang oleh alamat yang diidentifikasi sebagai 0xa80d…c822. Kepemilikan ini termasuk beberapa derivatif Ethereum yang dipertaruhkan yang diambil selama penarikan awal.

Tim Yearn Finance Menanggapi Sementara Investigasi Berlanjut

Yearn Finance menyatakan bahwa eksploitasi hanya mempengaruhi produk yETH legacy. Tim melaporkan bahwa vault aktif dan posisi pengguna tidak terpapar. Mitra keamanan dan kelompok audit kini sedang meninjau insiden tersebut untuk menentukan apa yang menyebabkan kelemahan kontrak dan bagaimana pencetakan tidak sah terjadi. Yearn Finance belum mengumumkan proses pemulihan aset. Penyidik terus mendokumentasikan pergerakan dana dan menganalisis kontrak yang terkompromi. Data pasar menunjukkan bahwa token tata kelola YFI diperdagangkan di dekat $3,956 setelah insiden tersebut dan mencatat penurunan sekitar 4,4%.