Pada 1 Desember, protokol keuangan terdesentralisasi Yearn Finance dilaporkan mengalami serangan, di mana peretas menguras pool likuiditas dengan mencetak pasokan yETH dalam jumlah tak terbatas.
Menurut perusahaan keamanan PeckShield, total kerugian dari insiden ini diperkirakan sekitar $9 juta.
Data blockchain menunjukkan bahwa pelaku telah mentransfer 1.000 ETH (sekitar $3 juta) ke crypto mixer Tornado Cash, sementara alamat pelaku masih menyimpan aset kripto senilai sekitar $6 juta.
01 Ikhtisar Insiden: Pool yETH Terkuras dengan Cepat
Pada 1 Desember, produk Yearn Ether (yETH) milik Yearn Finance mengalami serangan besar. Produk ini merupakan token indeks yang menggabungkan beberapa token liquid staking (LST) populer.
Pelaku memanfaatkan kerentanan yang dirancang secara khusus untuk mencetak token yETH dalam jumlah hampir tak terbatas hanya dalam satu transaksi, sehingga pool likuiditas terkuras sepenuhnya dalam waktu singkat.
Data blockchain mengindikasikan bahwa serangan ini melibatkan beberapa smart contract baru yang langsung melakukan self-destruct setelah transaksi, sehingga menyulitkan proses investigasi.
Setelah insiden terjadi, Yearn Finance merilis pernyataan di X: "Kami sedang menyelidiki peristiwa yang melibatkan pool yETH LST StableSwap. Vault V2 dan V3 Yearn tidak terdampak."
02 Metode Serangan: Pencetakan Tak Terbatas dan Transfer Dana
Menurut pengguna X, Togbe, serangan ini terdeteksi saat memantau transfer dalam jumlah besar.
Togbe menjelaskan, "Transfer bersih menunjukkan yETH dicetak secara berlebihan, sehingga pelaku dapat menguras pool dan memperoleh keuntungan sekitar 1.000 ETH."
Selama serangan berlangsung, sebagian ETH hilang karena alasan yang belum diketahui, namun pelaku tetap memperoleh keuntungan.
Setelah mengamankan dana, pelaku mentransfer 1.000 ETH (senilai sekitar $3 juta) ke Tornado Cash—protokol privasi terdesentralisasi yang sering digunakan untuk menyamarkan aliran dana.
Data PeckShield menunjukkan alamat pelaku masih menyimpan aset kripto senilai sekitar $6 juta.
03 Tornado Cash: Alat Privasi dan Kontroversi Pencucian Uang
Tornado Cash adalah protokol privasi terdesentralisasi berbasis Ethereum yang menggunakan teknologi zero-knowledge proof untuk membantu pengguna menyembunyikan detail transaksi.
Protokol ini memberikan perlindungan privasi dengan memutus hubungan on-chain antara alamat deposit dan penarikan.
Namun, fitur privasi ini juga menjadikan Tornado Cash sebagai alat favorit bagi peretas yang ingin mencuci dana hasil kejahatan.
Pada Agustus 2022, Departemen Keuangan AS memasukkan Tornado Cash ke dalam daftar sanksi, dengan alasan bahwa kelompok peretas Lazarus telah menggunakan platform tersebut untuk mencuci ratusan juta dolar sejak 2019.
Pada Maret 2025, Tornado Cash akhirnya dihapus dari daftar sanksi Departemen Keuangan—perkembangan yang dianggap sebagai kemenangan besar bagi industri blockchain.
04 Rekam Jejak Keamanan Yearn Finance
Ini bukan kali pertama Yearn Finance mengalami insiden keamanan.
Pada 2021, protokol ini terkena serangan yang memengaruhi vault yDAI, mengakibatkan kerugian sebesar $11 juta, dengan peretas memperoleh keuntungan akhir sebesar $2,8 juta.
Pada Desember 2023, kesalahan skrip menyebabkan kerugian 63% pada satu posisi vault, meski dana pengguna tidak terdampak.
Yearn Finance diluncurkan pada 2020 oleh pendiri Andre Cronje, yang kemudian meninggalkan proyek tersebut dua tahun setelahnya.
05 Dampak Pasar dan Penurunan Kripto yang Lebih Luas
Serangan ini terjadi di tengah penurunan tajam pasar kripto.
Pada pagi hari 1 Desember, Bitcoin sempat turun di bawah $86.000, anjlok lebih dari 5% dalam satu hari; Ethereum juga kehilangan pijakan di level $2.900.
Menurut data Coinglass, lebih dari $500 juta kontrak kripto dilikuidasi di seluruh jaringan dalam 24 jam, memengaruhi 177.200 trader.
Penurunan pasar ini kemungkinan terkait rumor bahwa Ketua Federal Reserve Jerome Powell akan mengundurkan diri, meski media arus utama luar negeri belum melaporkan hal ini dan analis menilai rumor tersebut kemungkinan besar tidak benar.
06 Respons Industri dan Prospek ke Depan
Setiap insiden peretasan selalu menimbulkan pertanyaan baru terkait keamanan DeFi.
Dalam kasus Tornado Cash, Departemen Kehakiman AS mengajukan tuntutan pidana pada Agustus 2023 terhadap dua pendiri, Roman Storm dan Roman Semenov, dengan tuduhan konspirasi pencucian uang, menjalankan bisnis pengiriman uang tanpa izin, dan pelanggaran regulasi sanksi.
Organisasi industri memberikan perlawanan, dengan Coin Center menyatakan, "Menganggap pengembangan perangkat lunak open-source sebagai tindak pidana adalah kemunduran bagi inovasi teknologi."
Bagi investor institusi, kasus Tornado Cash menunjukkan bahwa regulator kini menuntut kepatuhan proaktif, bukan sekadar verifikasi identitas rekanan.
Institusi perlu menerapkan sistem pemantauan blockchain secara real-time yang dikombinasikan dengan penyaringan sanksi otomatis untuk mengidentifikasi dan memblokir transaksi bermasalah sebelum terjadi.
Prospek
Perusahaan keamanan blockchain PeckShield memperkirakan total kerugian dari serangan ini sekitar $9 juta, dengan sekitar $3 juta sudah dipindahkan ke Tornado Cash dan sekitar $6 juta aset kripto masih tersimpan di alamat pelaku.
Hingga berita ini diturunkan, tim Yearn Finance masih melakukan investigasi dan telah memastikan bahwa vault V2 dan V3 tetap aman. Peristiwa ini kembali menyoroti tantangan yang terus dihadapi DeFi dalam menyeimbangkan aspek keamanan dan kepatuhan regulasi.
