Foto: Ivan Babydov/Shutterstock
Yearn Finance, sebuah nama besar di dunia DeFi, menjadi target peretasan besar akhir pekan ini. Serangan tersebut menyasar kontrak yETH lama yang sudah tidak aktif, namun masih memiliki akses ke liquidity pool. Hal ini memungkinkan peretas untuk menyalahgunakan bagian kode yang tidak terpakai tersebut untuk mendapatkan akses.
Total kerugian akibat peretasan ini mencapai lebih dari 11 juta dolar AS atau sekitar 9 juta euro. Belum pasti apakah pengguna akan bisa mendapatkan kembali uang mereka.
Pelaku Kejahatan Manfaatkan Celah di yETH Pool yang Usang #
Sebuah kesalahan pada kode lama memberikan celah bagi peretas untuk membuat token yETH baru hampir tanpa batas dan menggunakannya untuk menguras aset nyata seperti ETH dan aset lainnya.
Serangan dimulai pada Minggu malam. Terdapat kesalahan dalam kontrak yETH lama yang memungkinkan peretas untuk mencetak token yETH dalam jumlah yang sangat besar. Menurut data yang tersedia, peretas mencetak lebih dari 235 triliun token dalam satu transaksi. Jumlah yang sangat besar ini tentu tidak pernah dimaksudkan dan membuatnya mungkin untuk menguras liquidity pool.
Dari pool utama, peretas mengambil aset senilai 6,9 juta euro dalam bentuk ETH dan token liquid staking. Pool kedua kehilangan hampir 850.000 euro. Sebagian dari uang yang dicuri, sekitar 1.000 ETH senilai 2,5 juta euro, langsung dikirim melalui Tornado Cash untuk menyamarkan jejak. Sisanya masih berada di dompet peretas, yang berisi campuran token staked ETH.
Yearn merespons dengan cepat dan menyatakan bahwa kesalahan tersebut hanya terjadi pada komponen yETH lama. Vault V2 dan V3 yang terkenal, tempat sebagian besar pengguna menyimpan dananya, dalam kondisi aman. “Produk aktif dan dana pengguna tidak terpengaruh,” kata tim Yearn.
Harga YFI Justru Naik Setelah Hack #
Berbagai pihak dengan cepat memberikan peringatan, termasuk firma keamanan PeckShield. Beberapa kontrak bantuan yang digunakan peretas dibuat tepat sebelum serangan dan dihancurkan tak lama setelahnya. Hal ini membuat analisis serangan menjadi sulit, tetapi menunjukkan bahwa ini adalah aksi yang sudah direncanakan.
Yang menarik, justru terjadi kenaikan harga pada token YFI milik Yearn, bukan penurunan. Harga melonjak dari sekitar 4.080 dolar menjadi lebih dari 4.160 dolar. Ini kemungkinan terjadi karena para trader awalnya mengira seluruh ekosistem Yearn terkena dampak dan melakukan penjualan (short) secara masif.
Ketika menjadi jelas bahwa masalah hanya terjadi pada produk yETH lama, posisi short tersebut harus segera ditutup, yang menyebabkan harga sementara melonjak naik. Saat ini, harga YFI telah jatuh lebih dari 6 persen.
Yearn saat ini masih menyelidiki bagaimana kesalahan tersebut bisa terjadi dan apakah ada kemungkinan untuk mengembalikan sebagian dari dana yang dicuri.