Yearn Finance terkena eksploitasi yETH dengan $3M dikirim ke Tornado Cash

Yearn Finance menghadapi pelanggaran keamanan baru setelah seorang penyerang mengeksploitasi kontrak token yETH-nya dan menguras jutaan dalam ETH dan aset liquid staking dari kolam Balancer. Ringkasan

• Eksploitasi menargetkan kontrak yETH yang lebih lama, memungkinkan penyerang untuk mencetak pasokan token yang tidak terbatas dan mengosongkan kolam Balancer.
• Sekitar 1.000 ETH berpindah melalui Tornado Cash tak lama setelah serangan, dengan lebih banyak aset masih tersimpan di dompet penyerang.
• Yearn mengonfirmasi bahwa masalah ini terisolasi dari V2 dan V3 Vaults-nya dan sedang menyiapkan laporan rinci tentang insiden tersebut.

Kejadian tersebut terjadi pada akhir 30 November ketika seorang penyerang memicu celah infinite-mint di dalam kontrak yETH. Mereka kemudian mencetak pasokan yETH yang sangat besar, lebih dari 235 triliun token, dalam satu transaksi.

Dengan token-token tersebut, penyerang bergerak cepat melalui kolam Balancer, menghapus aset-aset nyata, termasuk ETH dan derivatif staking populer. Jejak awal menunjukkan hampir $3 juta mengalir melalui Tornado Cash tidak lama setelah eksploitasi, sementara alamat penyerang masih menyimpan aset tambahan yang terkait dengan peristiwa tersebut.

Eksploitasi terisolasi pada produk yETH legendaris

Data blockchain menunjukkan bahwa pool stableswap yETH dikosongkan dalam hitungan menit, meninggalkan celah sekitar $2,8 juta. Yearn Finance(YFI) mengatakan bahwa masalah ini terletak pada implementasi yETH yang lebih lama dan tidak menyentuh V2 atau V3 Vaults. Protokol yang dibangun di Yearn V3, termasuk Katana, juga melaporkan tidak ada keterpaparan.

Kami sedang menyelidiki insiden yang melibatkan kolam stableswap yETH LST.

Yearn Vaults (baik V2 dan V3) tidak terpengaruh.

— yearn (@yearnfi) 30 November 2025

Beberapa kontrak pembantu muncul hanya beberapa saat sebelum serangan dan menghilang melalui panggilan self-destruct setelah kolam dikuras, membuat jejaknya lebih sulit untuk diikuti.

Tim keamanan yang meninjau transaksi, termasuk auditor yang melacak produk lama Yearn, mengaitkan peristiwa tersebut dengan kelemahan pencetakan yang sudah ada dalam logika token yETH, bukan masalah dalam arsitektur brankas Yearn saat ini.

Protokol ini mempertahankan program bug bounty yang aktif dengan hadiah mencapai $200,000 untuk penemuan kritis, meskipun belum ada jalur pemulihan yang diumumkan.

Pergerakan on-chain meningkat setelah penarikan likuiditas

Segera setelah kolam runtuh, pengguna X Togbo menandai beberapa pergerakan batch 100 ETH yang melewati Tornado Cash. Sekitar 1.000 ETH secara total dicampur dalam beberapa jam setelah eksploitasi. Penyerang masih mempertahankan aset tambahan senilai beberapa juta dolar di berbagai dompet.

beberapa hal terkait balancer yang terlihat seperti eksploitasi mengingat interaksi berat dengan tornado

yearn, rocket pool, origin, dinero dan LST lainnya beredar pic.twitter.com/wUuexeQJyg

— Togbe (@Togbe0x) 30 November 2025

Kolam yETH memiliki sekitar $11 juta sebelum pelanggaran, dan meskipun angka kerugian akhir masih dalam peninjauan, Yearn mengatakan bahwa dana pengguna di dalam brankas aktif tetap aman.

Insiden ini menambah catatan panjang protokol dalam mengelola risiko warisan, beberapa tahun setelah eksploitasi yDAI pada tahun 2021 dan kesalahan konfigurasi treasury pada tahun 2023 yang tidak mempengaruhi para penyetor. YFI turun sekitar 4% setelah kejadian tersebut dan diperdagangkan di sekitar $4,002 pada saat berita ini ditulis.