Hacker berhasil mengeksploitasi Yearn Finance dan mengambil lebih dari $ 11,5 juta dari protokol keuangan terdesentralisasi. Serangan terjadi pada 5 Februari dan mengakibatkan kerugian besar bagi pengguna Yearn. Tim pengembang sedang memperbaiki kerentanan yang ditemukan dan meminta pengguna untuk tidak melakukan deposit atau menarik dana sementara waktu. Hal ini menunjukkan betapa pentingnya keamanan dalam ekosistem DeFi dan perlunya pengembang untuk terus meningkatkan tingkat keamanan protokol mereka.
IndoPulsa.Co.id – Hacker mengeksploitasi Yearn Finance dan mencuri lebih dari $ 11,5 juta
Platform keuangan terdesentralisasi (DeFi) yang populer, Yearn Finance, baru-baru ini diretas menggunakan protokol likuiditas open-source, Aave. Per data on-chain, peretas telah memindahkan lebih dari $ 11,5 juta dalam stablecoin.
Menurut data on-chain, pengeksploitasi menggunakan Aave V1 untuk mendapatkan 3,02 juta DAI, 2,57 juta USDC, 1,78 juta BUSD, 1,51 juta TUSD dan 1,19 juta USDT, di antara aset lainnya, dari Yearn Finance. Peretas menggunakan Tornado Cash untuk menghapus jejak dana yang dicuri.
Selain itu, perusahaan keamanan blockchain PeckShield mencatat bahwa “akar penyebab” eksploitasi bukanlah Aave, melainkan yUSDT yang “salah konfigurasi” – cermin USDT Yearn Finance. Per tweet, peretas mencetak 1,2 kuadriliun koin yUSDT, hanya menggunakan $ 10.000 USDT, menukar token glitchy dengan “stablecoin lainnya.”
Tampaknya akar penyebabnya adalah karena yUSDT yang salah dikonfigurasi, yang dieksploitasi untuk mencetak yUSDT besar (1.252.660.242.212.927,5) dari USDT kecil $10K. yUSDT yang besar kemudian diuangkan dengan menukar ke koin stabil lainnya. pic.twitter.com/xlsc2Nlmle
— PeckShield Inc. (@peckshield) 13 April 2023
Menurut peneliti keamanan pseudonim dan kontributor Yearn Finance, Storming0x, peretas menggunakan “protokol warisan iearn,” yang diluncurkan pada tahun 2020.
Kami menyadari masalah yang tampaknya terisolasi dari protokol warisan iearn yang diluncurkan pada tahun 2020 dan kumpulan likuiditas.
Kubah Yearn v2 tampaknya tidak terpengaruh.
Kontributor Yearn sedang menyelidiki.
Komunikasi lebih lanjut untuk mengikuti akun utama. https://t.co/CKddWwjFj8
— Badai Diberkati 0x (@storming0x) April 13, 2023
Perusahaan keamanan Blockchain OtterSec menyatakan bahwa peretas membayar kembali beberapa pinjaman USDT di Aave dan kemudian “menyeimbangkan kembali token yUSDT.” Selanjutnya, pengeksploitasi menggunakan y Swap Curve untuk memperoleh stablecoin nyata menggunakan yUSDT yang salah dikonfigurasi.
Menyelam melalui jejak, tampaknya para penyerang melakukan beberapa langkah kunci.
1. Membayar sejumlah pinjaman USDT Aave
2. Seimbangkan kembali token yUSDT (yang mencoba menarik diri dari token Fulcrum iUSDC yang salah)
3. Memanggil Curve y Swap dengan harga saham yang sebagian besar tidak seimbang pic.twitter.com/BFsnlewDrl— OtterSec (@osec_io) 13 April 2023
Hacker berhasil mengeksploitasi Yearn Finance dan mencuri lebih dari $11,5 juta. Ini menjadi peringatan bagi perusahaan untuk meningkatkan keamanan sistem mereka agar tidak menjadi sasaran serangan cyber. Jangan biarkan data berharga dan uang anda jatuh ke tangan yang salah. Lindungi diri anda dengan menggunakan layanan keamanan terpercaya seperti Indopulsa. Kunjungi https://www.indopulsa.co.id untuk info lebih lanjut.