Pool yETH Yearn Finance Dibobol, Kerugian Tembus Rp150 Miliar

Protokol yield farming Yearn Finance kembali menjadi target serangan. Kali ini, pelaku berhasil menguras jutaan dolar aset liquid staking tokens (LST) dari produk Yearn Ether (yETH), yakni kumpulan aset Ether yang dipertaruhkan (staked ETH) dalam satu token teragregasi.

Berdasarkan data on-chain Etherscan, pool yETH tampaknya dikuras melalui eksploitasi terstruktur yang memungkinkan penyerang mencetak token yETH dalam jumlah nyaris tanpa batas.

Manuver ini membuat seluruh likuiditas dalam pool tersedot hanya dalam satu transaksi. Dari aksi tersebut, sebanyak 1.000 ETH, sekitar US$3 juta pada harga saat ini, langsung dikirim ke protokol mixing Tornado Cash.

Investigasi awal menunjukkan bahwa serangan ini melibatkan beberapa smart contract baru yang dideploy khusus untuk operasi tersebut, di mana sebagian langsung melakukan self-destruct setelah transaksi. Sebelum insiden terjadi, nilai aset dalam pool yETH tercatat sekitar US$11 juta, meski skala kerugian keseluruhan sempat belum dapat dipastikan.

Serangan pertama kali dilaporkan oleh pengguna X bernama Togbe, yang mendeteksi aktivitas mencurigakan saat memantau transfer berukuran besar.

Menurut Togbe, transaksi tersebut menunjukkan bahwa mekanisme “super mint” di yETH memungkinkan pelaku menguras dana pool sambil tetap membawa pulang keuntungan 1.000 ETH.

Baca juga: CEX Upbit Jadi Korban Hack, Rp615 Miliar Raib

Yearn Buka Suara

Yearn Finance mengonfirmasi insiden tersebut melalui pernyataan resmi di X. Mereka menyebutkan bahwa insiden hanya memengaruhi pool yETH LST stableswap dan tidak berdampak pada Yearn Vaults versi V2 maupun V3.

Dalam pengumuman lanjutan, Yearn memastikan bahwa total kerugian mencapai US$9 juta atau setara Rp150 miliar. Angka tersebut mencakup US$8 juta dari pool LST stableswap dan US$0,9 juta dari pool yETH-WETH di Curve.

Proses investigasi mendalam kini berlangsung bersama tim SEAL 911 dan ChainSecurity.

Yearn menambahkan bahwa serangan ini memiliki tingkat kompleksitas yang serupa dengan insiden Balancer baru-baru ini. Mereka juga memastikan tidak ada produk Yearn lain yang menggunakan basis kode serupa dengan modul yang terdampak.

Ini bukan pertama kalinya Yearn Finance mengalami insiden keamanan serius. Pada 2021, protokol mereka diretas hingga menyebabkan kehilangan US$11 juta dari vault yDAI, dengan peretas berhasil memproleh sekitar US$2,8 juta.

Sementara pada Desember 2023, kesalahan skrip internal menyebabkan 63% posisi treasury terhapus, meski dana pengguna tetap aman.

Baca juga: Vault Yearn Finance Diretas! Rp154 Miliar Lenyap