🔍 Apa yang terjadi pada Yearn / yETH?
Pada tanggal 30 November 2025, Yearn mengkonfirmasi bahwa pool/kontrak “yETH LST stableswap” miliknya telah dieksploitasi.
Kerentanan tersebut memungkinkan penyerang untuk melakukan "pencetakan tak terbatas" yETH — yaitu: mereka menciptakan sejumlah token yETH palsu yang hampir tak terbatas.
Dengan token palsu tersebut, penyerang segera menukarkannya dengan aset nyata — sebagian besar ETH dan token turunan staking lainnya — menguras likuiditas pool "lama" yETH dalam hitungan menit.
Menurut laporan, total kerugian diperkirakan antara ≈ US$ 8 hingga US$ 9 juta.
Sebagian dari dana yang dicuri — sekitar 1.000 ETH (sekitar ≈ US$ 3 juta pada saat itu) — segera dikirim ke pencampur (Tornado Cash), tampaknya untuk menyembunyikan jejak.
Yearn menyatakan bahwa hanya “legacy pool” dari yETH yang terpengaruh: produk utama mereka saat ini — “Vaults V2/V3” — tidak terkena dampak.
Segera setelah serangan, pool itu diisolasi. Otoritas protokol dan analis keamanan memulai audit pasca-mortem untuk menentukan kegagalan dan menetapkan tanggung jawab.
✅ Apa yang diketahui dengan pasti — konfirmasi resmi?
Ada eksploitasi terhadap yETH, dengan mint “tak terbatas” dari token.
Bahwa aset nyata telah disedot: ETH dan token liquid staking.
Bahwa kerusakan yang diperkirakan berkisar antara US$ 8–9 juta.
Bahwa produk utama/“Vaults” Yearn tidak terpengaruh (setidaknya menurut versi resmi mereka).
Bahwa aset telah sebagian dipulihkan: dilaporkan ada pemulihan awal sekitar US$ 2.4 juta yang terkait dengan eksploitasi tersebut.
#YearnFinance #YearnFinanceTurbulence
⚠️ Apa risiko dan apa yang berubah bagi pengguna / untuk DeFi?
Insiden ini memiliki beberapa sisi risiko dan konsekuensi bagi komunitas DeFi:
🔐 Kerentanan teknis sistemik: mint “tak terbatas” menunjukkan kegagalan logis yang serius dalam kontrak — bukan kesalahan kecil. Ini menunjukkan bahwa bahkan protokol besar dan diaudit dapat memiliki celah kritis, yang mempengaruhi kepercayaan dalam kontrak pintar yang kompleks.
🚨 Kehilangan likuiditas dan kepercayaan dalam produk “komposit” atau “likuid staking + pool”: yETH mengombinasikan derivatif staking (LST) dengan likuiditas, yang menambah lapisan kompleksitas: kerentanan di salah satu lapisan tersebut dapat memiliki efek berantai.
💵 Kerugian nyata bagi sebagian komunitas: jika ada pengguna di pool tertentu, mereka mungkin melihat deposit mereka terpengaruh. Meskipun Yearn mengatakan bahwa pool tersebut diisolasi, tidak semua pengguna selalu berhasil keluar tepat waktu.
🧑⚖️ Reputasi yang rusak — kepercayaan dalam keamanan menurun: ketika sebuah eksploitasi menyerang protokol yang dikenal, banyak orang akan mengevaluasi kembali kepercayaan mereka dalam DeFi, dalam kontrak pintar, dan lebih memilih penyimpanan yang lebih konservatif atau produk yang lebih sederhana.
🔁 Kemungkinan peningkatan audit, tinjauan ketat, kurang inovasi cepat: pengembang dan proyek DeFi mungkin menjadi lebih berhati-hati, yang memperlambat peluncuran baru, inovasi, atau menambah rem regulasi / due diligence.
🔎 Apa yang perlu diperhatikan sekarang
Apa yang terungkap dalam audit / “post-mortem” Yearn: jenis kesalahan apa yang memungkinkan “infinite mint”, dan apakah itu adalah kerentanan yang sudah dikenal (atau baru).
Jika Yearn berhasil memulihkan lebih banyak dana — mereka telah memulihkan ~US$ 2.4 juta, tetapi masih ada bagian yang hilang.
Bagaimana reaksi komunitas DeFi: apakah ada kerusuhan kepercayaan, aliran modal menuju protokol yang dianggap “aman”, atau apakah likuiditas dalam staking/LPs menurun.
Jika proyek lain dengan struktur serupa meninjau kontrak mereka untuk menghindari kerentanan serupa: ini bisa berfungsi sebagai panggilan bangun teknis untuk seluruh ekosistem.
Dampak pada harga token dari protokol (jika berlaku), dan pada token yang terkait dengan staking atau DeFi — penurunan kepercayaan biasanya mempengaruhi tidak hanya protokol, tetapi juga perasaan umum.
Peretasan ini terhadap yETH dari Yearn menunjukkan bahwa — meskipun popularitas dan rekam jejaknya — protokol DeFi tetap sangat rentan terhadap kegagalan kode. Eksploitasi tersebut sangat serius, dengan kerugian jutaan, dan meskipun “Vaults utama” selamat, kepercayaan pasar dapat terluka. Ini adalah panggilan perhatian bagi investor, pengembang, dan pengguna: inovasi dalam DeFi datang dengan risiko nyata, dan tidak ada jaminan keamanan total.