Eksploitasi Keempat Yearn Finance
Yearn Finance baru saja mengalami eksploitasi keempatnya, di mana serangan flash loan berhasil menguras vault v1 legasi. Kejadian ini kembali menyoroti risiko yang terus ada dari kontrak DeFi yang sudah usang serta taktik manipulasi harga yang digunakan oleh penyerang.
Detail Serangan
Menurut laporan dari perusahaan keamanan blockchain, PeckShield, Yearn Finance, sebuah protokol keuangan terdesentralisasi, telah mengalami serangan keamanan keempat dalam beberapa minggu terakhir. Serangan terbaru ini menargetkan kontrak pintar Yearn v1 legasi, yang sebelumnya dikenal sebagai iearn, dan mengakibatkan kerugian yang signifikan.
Insiden ini mengikuti eksploitasi yang dilaporkan pada bulan November lalu. Penyerang memanfaatkan flash loan untuk memanipulasi harga token di dalam vault yang terkena dampak, seperti yang diungkapkan oleh analisis dari PeckShield. Mereka menarik aset iearn dan mengonversinya menjadi cryptocurrency lain.
Kerentanan Kontrak
Kontrak yang terkompromi merupakan bagian dari Yearn v1 dan belum mendapatkan pembaruan selama beberapa tahun, menurut dokumentasi protokol. Flash loan memungkinkan peminjam untuk mendapatkan jumlah besar cryptocurrency tanpa jaminan, yang memberi kesempatan kepada penyerang untuk memanipulasi harga dan menarik aset dengan cepat, menurut para ahli keamanan blockchain.
Riwayat Serangan
Sejak beberapa tahun terakhir, Yearn Finance telah mengalami empat pelanggaran keamanan. Pada bulan November, protokol ini mengalami eksploitasi mint tak terbatas. Di tahun 2023, Yearn juga mengalami peretasan lain serta insiden terpisah yang terkait dengan Euler Finance. Pada tahun 2021, eksploitasi serupa juga mengakibatkan kerugian yang signifikan.
Setiap serangan menggunakan metode yang kompleks, termasuk flash loan dan manipulasi harga, berdasarkan analisis keamanan yang ada. Meskipun audit keamanan telah dilakukan pada protokol, kontrak legasi tetap rentan terhadap potensi kerentanan.
Tindakan Selanjutnya
Saat ini, Yearn Finance sedang meninjau semua kontrak aktif untuk mencari kelemahan. PeckShield dan layanan pemantauan blockchain lainnya segera melacak eksploitasi ini dan mendesak pengguna untuk memverifikasi saldo serta mengamankan dana yang berpotensi rentan. Tim protokol belum memberikan rincian publik mengenai rencana pemulihan.
Yearn Finance terus memeriksa kontrak v1 yang tersisa untuk menemukan kerentanan dan telah merekomendasikan kehati-hatian saat berinteraksi dengan vault yang lebih tua. Audit dan pemeriksaan keamanan sedang ditingkatkan untuk mencegah kerugian lebih lanjut. Serangan flash loan terus menjadi risiko bagi protokol keuangan terdesentralisasi yang sudah usang, menurut penilaian keamanan industri.
