Yearn Finance diduga diserang, Hacker telah mengirim 1.000 ETH dana yang dicuri ke Tornado Cash

Pada 1 Desember, protokol Keuangan Desentralisasi Yearn Finance diduga mengalami serangan, Hacker menghabiskan dana likuiditasnya melalui pencetakan yETH tanpa batas.

Menurut perusahaan keamanan PeckShield, total kerugian akibat serangan ini mencapai sekitar 9 juta dolar.

Data blockchain menunjukkan bahwa penyerang telah mentransfer 1000 ETH (sekitar 3 juta dolar AS) ke pencampur kripto Tornado Cash, sementara alamat penyerang saat ini masih memegang aset kripto senilai sekitar 6 juta dolar AS.

01 Ringkasan Peristiwa: kolam yETH dengan cepat dikuras

Produk Yearn Ether (yETH) dari Yearn Finance mengalami serangan serius pada 1 Desember, produk ini adalah token indeks yang mengagregasi berbagai token staking likuiditas (LST) yang populer.

Penyerang menggunakan celah yang dirancang dengan cermat untuk mencetak hampir jumlah yETH yang tak terbatas dalam satu transaksi, dengan cepat menguras seluruh kolam likuiditas.

Menurut data blockchain, serangan ini melibatkan beberapa kontrak pintar yang baru dideploy, di mana sebagian kontrak langsung menghancurkan diri setelah transaksi selesai, yang menambah kompleksitas penyelidikan kejadian tersebut.

Setelah serangan terjadi, Yearn Finance mengeluarkan pernyataan di platform X: “Kami sedang menyelidiki insiden yang melibatkan kolam StableSwap yETH LST, brankas V2 dan V3 Yearn tidak terpengaruh.”

02 Metode Serangan: Pencetakan Tak Terbatas dan Transfer Dana

Menurut pemantauan pengguna X, Togbe, mereka menemukan serangan anomali ini saat memantau transfer besar.

Togbe menjelaskan: “Transfer bersih menunjukkan yETH telah dicetak secara berlebihan, yang memungkinkan penyerang untuk menguras kolam dana dan meraup keuntungan sekitar 1.000 ETH.”

Selama proses serangan, sebagian ETH dikorbankan karena alasan yang tidak diketahui, tetapi penyerang tetap mendapatkan keuntungan.

Setelah berhasil, penyerang mentransfer 1000 ETH (senilai sekitar 3 juta dolar AS) ke Tornado Cash, sebuah protokol privasi desentralisasi yang sering digunakan untuk menyembunyikan aliran dana.

Menurut data PeckShield, alamat penyerang saat ini masih memegang aset kripto senilai sekitar 6 juta dolar.

03 Tornado Cash: Alat Privasi dan Kontroversi Pencucian Uang

Tornado Cash adalah protokol privasi desentralisasi yang berbasis Ethereum, yang membantu pengguna menyembunyikan informasi transaksi melalui teknologi bukti nol pengetahuan.

Protokol ini menyediakan perlindungan privasi bagi pengguna dengan memutuskan tautan on-chain antara alamat setoran dan penarikan.

Namun, fitur privasi ini juga menjadikannya alat pilihan bagi hacker untuk mencuci uang.

Departemen Keuangan AS pernah memasukkan Tornado Cash ke dalam daftar sanksi pada bulan Agustus 2022, dengan alasan bahwa sejak tahun 2019, kelompok hacker Lazarus telah beberapa kali menggunakan platform tersebut untuk mencuci uang, dengan jumlah yang terlibat mencapai ratusan juta dolar.

Pada bulan Maret 2025, Tornado Cash akhirnya dihapus dari daftar sanksi Kementerian Keuangan AS, yang dianggap sebagai kemenangan penting bagi industri blockchain.

04 Sejarah Keamanan Yearn Finance

Ini bukan pertama kalinya Yearn Finance mengalami insiden keamanan.

Pada tahun 2021, protokol tersebut mengalami serangan yang mempengaruhi gudang yDAI-nya, menyebabkan kerugian sebesar 11 juta dolar AS, dan hacker akhirnya meraup keuntungan sebesar 2,8 juta dolar AS.

Pada bulan Desember 2023, akibat kesalahan skrip, satu posisi gudang dari protokol tersebut mengalami kerugian sebesar 63%, tetapi dana pengguna tidak terpengaruh.

Pendiri Yearn Finance, Andre Cronje, memulai proyek ini pada tahun 2020, tetapi meninggalkannya dua tahun kemudian.

05 Pengaruh Pasar dan Penurunan Keseluruhan Cryptocurrency

Pada saat serangan terjadi, pasar cryptocurrency sedang mengalami penurunan yang signifikan.

Pada pagi 1 Desember, Bitcoin sempat jatuh di bawah 86.000 dolar AS, dengan penurunan lebih dari 5% dalam sehari; Ethereum juga gagal mempertahankan level 2.900 dolar AS.

Data Coinglass menunjukkan, dalam 24 jam terakhir, likuidasi kontrak cryptocurrency di seluruh jaringan melebihi 5 juta USD, dengan jumlah orang yang terlikuidasi mencapai 177.200.

Penurunan pasar kali ini mungkin terkait dengan rumor pasar—ada kabar bahwa Ketua Federal Reserve Powell mungkin mengundurkan diri, namun media mainstream luar negeri belum melaporkan berita ini, analis berpendapat bahwa ini kemungkinan besar adalah berita palsu.

06 Tanggapan Industri dan Prospek Masa Depan

Setiap kali terjadi peristiwa serangan hacker, muncul keraguan tentang keamanan Keuangan Desentralisasi.

Dalam kasus Tornado Cash, Departemen Kehakiman AS pada bulan Agustus 2023 telah mengajukan tuntutan pidana terhadap salah satu pendiri Tornado Cash, Roman Storm dan Roman Semenov, menuduh mereka berkonspirasi melakukan pencucian uang, menjalankan bisnis transfer dana tanpa izin, dan melanggar peraturan sanksi.

Organisasi industri menentang hal ini, Coin Center menunjukkan, “Menganggap pengembangan perangkat lunak sumber terbuka sebagai kejahatan adalah penekanan terhadap inovasi teknologi.”

Untuk investor institusi, kasus Tornado Cash menunjukkan bahwa regulator sekarang meminta kepatuhan proaktif, bukan hanya kepatuhan terhadap verifikasi identitas lawan.

Lembaga perlu menerapkan sistem pemantauan blockchain real-time dan menggabungkannya dengan penyaringan sanksi otomatis untuk mengidentifikasi dan mencegah transaksi bermasalah sebelum terjadi.

Prospek Masa Depan

Perusahaan keamanan blockchain PeckShield memperkirakan bahwa total kerugian akibat serangan ini sekitar 9 juta dolar, di mana sekitar 3 juta dolar telah ditransfer ke Tornado Cash, dan alamat penyerang masih memegang sekitar 6 juta dolar aset kripto.

Hingga saat berita ini diterbitkan, tim Yearn Finance masih menyelidiki peristiwa ini dan mengonfirmasi bahwa kas V2 dan V3 mereka tidak terpengaruh. Peristiwa ini sekali lagi menyoroti tantangan berkelanjutan yang dihadapi di bidang DeFi antara keamanan dan kepatuhan regulasi.