yETH mengalami serangan infinite mint attack! 300 juta USD ETH mengalir ke Tornado Cash Pencucian Uang

Protokol Yield Farming Yearn Finance diserang, menyebabkan token liquid staking dalam produk Yearn Ether (yETH) dicuri. Kolam dana yETH dikosongkan oleh program celah yang dirancang dengan cermat, yang mencetak hampir jumlah yETH token yang tak terhingga melalui satu transaksi. Transaksi ini mengakibatkan 1000 ETH (sekitar 3 juta dolar) dikirim ke protokol pencampuran Tornado Cash.

Metode serangan presisi pada celah pencetakan tanpa batas

（Sumber：Etherscan）

Data blockchain menunjukkan bahwa kolam dana yETH jelas telah dikosongkan melalui program celah yang dirancang dengan cermat, yang mencetak hampir jumlah yETH Token yang tidak terbatas melalui satu transaksi, sehingga mengosongkan kolam dana. Yearn Ether (yETH) mengagregasi Token staking likuiditas (LST) populer menjadi satu Token, memungkinkan pengguna untuk mendapatkan manfaat dari berbagai LST melalui satu aset. Namun, kompleksitas desain ini juga memberikan peluang bagi penyerang.

Sepertinya penyerang dapat mencetak yETH tanpa batas melalui celah. Serangan “pencetakan tanpa batas” ini adalah salah satu jenis celah paling mematikan di bidang DeFi, yang memungkinkan penyerang untuk melewati persyaratan jaminan normal dan menciptakan token dari udara. Dalam keadaan normal, pengguna yang ingin mendapatkan yETH harus menyetor token likuiditas yang setara sebagai jaminan. Namun, penyerang menemukan celah logika dalam kode kontrak pintar yang memungkinkan mereka mencetak sejumlah besar yETH tanpa menyediakan jaminan yang sesuai.

Data blockchain menunjukkan bahwa serangan tampaknya melibatkan beberapa kontrak pintar yang baru dikerahkan, di mana beberapa di antaranya menghancurkan diri sendiri setelah transaksi selesai. Metode ini sangat licik, menunjukkan bahwa pelaku serangan memiliki kemampuan teknis yang tinggi dan pemahaman mendalam tentang mekanisme kerja kontrak pintar. Dengan menerapkan kontrak pintar sementara untuk melakukan serangan, lalu segera menghancurkan kontrak tersebut, pelaku berusaha menyembunyikan jalur serangan mereka, meningkatkan kesulitan dalam analisis pasca kejadian dan pemulihan dana.

Tiga Tahap Proses Serangan Pencetakan Tak Terbatas

Tahap Pertama: Menyebarkan kontrak serangan - Penyerang menyebarkan beberapa kontrak pintar yang dirancang dengan cermat, yang berisi kode yang memanfaatkan celah logika pencetakan yETH.

Tahap Kedua: Melakukan pencetakan tak terbatas - Melalui transaksi tunggal memanggil kontrak-kontrak ini, melewati mekanisme pemeriksaan jaminan, mencetak sejumlah besar yETH Token.

Tahap Ketiga: Menghancurkan Bukti - Setelah serangan selesai, segera hancurkan kontrak pintar yang dikerahkan sementara, mencoba menyembunyikan metode dan logika serangan.

Serangan peretasan kali ini pertama kali ditemukan oleh pengguna X, Togbe. Togbe告訴The Block, bahwa ia memperhatikan serangan yang jelas ini saat memantau transfer besar. “Data transfer bersih menunjukkan bahwa yETH super pencetakan telah membuat para penyerang menguras dana kolam, menghasilkan sekitar 1000 ETH,” tulis Togbe dalam sebuah pesan. “Meskipun masih ada ETH lain yang dikorbankan, mereka tetap meraih keuntungan.”

Penemuan Togbe menyoroti sifat pedang bermata dua dari transparansi blockchain. Di satu sisi, semua transaksi dapat diakses secara publik, memungkinkan pemantauan oleh komunitas. Di sisi lain, penyerang juga dapat memanfaatkan transparansi ini untuk mempelajari celah dalam protokol. Pernyataan “ETH lainnya telah dikorbankan” mengisyaratkan bahwa penyerang mungkin telah melakukan beberapa pengujian dalam proses menyempurnakan metode serangan, di mana sebagian dana hilang dalam pengujian tersebut, tetapi pada akhirnya berhasil menarik sejumlah besar aset.

Tornado Cash masalah pelacakan jalur pencucian uang

Transaksi ini mengakibatkan 1000 ETH (yang bernilai sekitar 3 juta dolar AS berdasarkan harga saat ini) dikirim ke protokol pencampuran Tornado Cash. Tornado Cash adalah layanan pencampuran yang paling terkenal di Ethereum, yang memecah jejak transaksi on-chain dengan mencampurkan dana dari banyak pengguna. Setelah dana masuk ke Tornado Cash, menjadi sangat sulit untuk melacak aliran akhirnya, inilah sebabnya mengapa peretas dan pencuci uang lebih memilih menggunakan layanan ini.

Mekanisme operasional Tornado Cash didasarkan pada teknologi bukti nol pengetahuan. Pengguna menyimpan ETH ke dalam kontrak pintar Tornado Cash dan memperoleh sertifikat terenkripsi. Kemudian, pengguna dapat menggunakan sertifikat ini untuk menarik jumlah ETH yang setara dari alamat mana pun, sementara di blockchain, alamat setoran dan alamat penarikan tidak dapat dihubungkan secara langsung. Penyerang menyetor 1000 ETH dalam beberapa tahap ke Tornado Cash, yang mungkin tersebar ke puluhan atau bahkan ratusan alamat penarikan yang berbeda, membuatnya sulit bagi pihak penegak hukum dan perusahaan analisis untuk melacak.

Perlu dicatat bahwa Tornado Cash itu sendiri telah disanksi oleh Kantor Pengendalian Aset Asing Departemen Keuangan AS (OFAC) pada Agustus 2022, dan penggunaan layanan tersebut di AS dianggap sebagai tindakan ilegal. Namun, karena Tornado Cash dideploy di smart contract Ethereum dan kodenya bersifat terdesentralisasi dan tidak dapat diubah, sanksi tersebut tidak benar-benar menghentikan layanan tersebut. Penyerang jelas tidak peduli dengan risiko hukum, atau mereka percaya bahwa manfaat anonim yang diperoleh dari pencampuran koin melebihi konsekuensi hukum yang mungkin.

Perusahaan analisis blockchain mungkin akan mencoba melacak dana melalui metode berikut: memantau aliran ETH yang ditarik dari Tornado Cash, mencari kemungkinan hubungan dengan bursa terpusat atau entitas lain yang dapat diidentifikasi; menganalisis pola transaksi dan cap waktu dari penyerang, mencari kesamaan dengan serangan yang diketahui lainnya; melacak sumber ETH yang digunakan untuk membayar biaya gas, karena penyerang harus menggunakan ETH yang “bersih” untuk membayar biaya transaksi pencampuran dan penarikan. Namun, penyerang yang berpengalaman biasanya akan menerapkan strategi pencampuran berlapis dan penundaan waktu, sehingga tingkat keberhasilan metode pelacakan ini menurun secara signifikan.

Rekam Jejak Keamanan Yearn Finance dan Pelajaran Sejarah

Saat ini belum jelas total kerugian, tetapi nilai pool yETH sebelum serangan adalah sekitar 11 juta dolar. Yearn menulis di X: “Kami sedang menyelidiki sebuah insiden yang melibatkan pool stablecoin yETH LST. Yearn Vaults (termasuk V2 dan V3) tidak terpengaruh.” Pernyataan ini berusaha menenangkan pengguna, menekankan bahwa keamanan produk inti Yearn Vaults tidak terganggu, dan kerugian hanya terbatas pada produk yang relatif baru, yETH.

Namun, ini bukanlah pertama kalinya Yearn Finance mengalami insiden keamanan. Pada tahun 2021, Yearn Finance mengalami serangan siber, di mana brankas yDAI mengalami kerugian sebesar 11 juta dolar AS, dan hacker mencuri 2,8 juta dolar AS. Serangan tersebut memanfaatkan teknik serangan pinjaman kilat, dengan memanipulasi oracle harga dalam satu transaksi untuk mendapatkan keuntungan. Pada bulan Desember 2023, protokol tersebut menyatakan bahwa sebuah skrip yang gagal menyebabkan salah satu posisi brankasnya kehilangan 63%, tetapi dana pengguna tidak terpengaruh.

Yearn Finance timeline kejadian keamanan

Tahun 2021: yDAI vault diserang dengan pinjaman kilat, mengalami kerugian 11 juta dolar AS, peretas meraup keuntungan 2,8 juta dolar AS.

Desember 2023: Skrip kesalahan menyebabkan kerugian 63% pada posisi treasury (modal pengguna tidak terpengaruh)

Tahun 2025: yETH mengalami serangan pencetakan tak terbatas, sekitar 3 juta dolar mengalir ke Tornado Cash

Peristiwa keamanan yang berulang ini memicu keraguan tentang audit kode dan proses keamanan Yearn Finance. Meskipun risiko serangan yang dihadapi protokol DeFi sudah tinggi, tiga peristiwa keamanan besar menunjukkan kemungkinan adanya masalah manajemen keamanan yang sistemik. Pendiri Yearn, Andre Cronje, mendirikan proyek ini pada tahun 2020 dan meninggalkannya dua tahun kemudian. Kepergian Cronje mungkin telah mempengaruhi kepemimpinan teknis dan budaya keamanan proyek.

Bagi pengguna DeFi, serangan kali ini sekali lagi menyoroti realitas risiko kontrak pintar. Bahkan protokol yang telah beroperasi selama bertahun-tahun seperti Yearn mungkin memiliki celah yang belum terdeteksi. Pengguna harus mengevaluasi catatan audit keamanan protokol, kejadian keamanan historis, kompleksitas kode, dan kemampuan respons tim saat berpartisipasi dalam protokol DeFi. Diversifikasi investasi ke beberapa protokol daripada mengkonsentrasikan semua dana di satu platform adalah strategi penting untuk mengurangi risiko kontrak pintar.