Yearn Finance, sang veteran di rimba DeFi, baru saja terkena pukulan lagi.
Korban kali ini? yETH, produk Yearn yang membungkus berbagai staked Ethereum menjadi satu paket yang rapi.
Bayangkan sebuah keranjang buah kosmik tiba-tiba dirampok oleh bandit crypto misterius.
1.000 ETH disalurkan ke Tornado Cash
Pencuriannya? Sekitar $9 juta lenyap dari pool stableswap yETH dan rekannya, pool yETH-WETH yang lebih kecil di Curve.
Peretasnya bermain seperti profesional, mengeksploitasi kombinasi misterius antara apa yang disebut “bug numerik tingkat rendah” dan “masalah manajemen invarian tingkat tinggi” (ya, itu istilah ahli crypto sungguhan untuk “kami kacau”).
Pada hari Minggu yang seharusnya tenang, seseorang mencetak token yETH tanpa batas, menukarnya dengan ETH asli dan token staking, lalu kabur membawa hadiah uang tunai dan sekitar 1.000 ETH yang disalurkan ke Tornado Cash, versi bom asap di dunia DeFi.
Pada pukul 21:11 UTC tanggal 30 November, terjadi insiden yang melibatkan pool stableswap yETH yang mengakibatkan pencetakan sejumlah besar yETH. Kontrak yang terdampak adalah versi kustom dari kode stableswap populer, tidak terkait dengan produk Yearn lainnya. Vault Yearn V2/V3 tidak berisiko.
— yearn (@yearnfi) December 1, 2025
Smart contract yang menghancurkan diri sendiri
Respons Yearn sangat cepat dan sedikit heroik. Bekerja sama dengan Plume dan Dinero, mereka berhasil merebut kembali 857,49 pxETH, sekitar $2,4 juta, menyelamatkan sebagian rampasan dari jurang kehancuran.
Prosesnya sangat rumit, digambarkan dalam laporan malam Yearn sebagai “kompleksitas tinggi,” menyaingi keberanian peretasan Balancer baru-baru ini yang terkenal itu.
Bagaimana pelaku bisa melakukan aksi ini? Triknya melibatkan jenis smart contract cerdas yang menghancurkan diri sendiri setelah menyelesaikan aksinya, menghapus jejak bytecode mereka namun meninggalkan jejak di blockchain bagi analis yang jeli.
Kontrak-kontrak ini mencetak token yETH palsu, menguras pool, lalu menghilang seperti kapal hantu di malam digital.
Bahkan protokol veteran dengan dana miliaran pun tidak kebal
Pernyataan resmi Yearn? Masalah ini terisolasi, hanya kode kustom yETH yang terkena dampaknya.
Saat artikel ini ditulis, Vault Yearn masih menyimpan dana sekitar $570 juta, tidak tersentuh oleh insiden kali ini. Namun, perlu diingat, ini bukan kali pertama Yearn mengalami hal seperti ini.
Mereka telah beberapa kali menjadi korban eksploitasi sejak 2021, termasuk kerugian $11 juta dari peretasan vault yDAI dan serangan pada kontrak yUSDT yang sudah tua di tahun 2023.
Seperti koboi berpengalaman, Yearn terus ditembak namun menolak untuk menyerah.
Bagi para penggemar DeFi, episode ini menjadi alarm keras, bahkan protokol veteran dengan dana miliaran pun tidak kebal.
Eksploitasi yETH ini memadukan keunikan smart contract dan kecerdikan peretas, menggambarkan betapa rapuhnya keamanan keuangan terdesentralisasi.
Cryptocurrency dan ahli Web3, pendiri Kriptoworld
LinkedIn | X (Twitter) | Artikel lainnya
Dengan pengalaman bertahun-tahun meliput dunia blockchain, András menyajikan laporan mendalam tentang DeFi, tokenisasi, altcoin, dan regulasi crypto yang membentuk ekonomi digital.
