Odaily星球日报 melaporkan bahwa Yearn Finance telah merilis laporan pasca kejadian secara rinci terkait serangan celah yETH minggu lalu. Laporan tersebut mengungkapkan adanya kesalahan nilai tiga tahap pada pool likuiditas stableswap yang ditinggalkan, yang memungkinkan penyerang untuk “mencetak tak terbatas” token LP dan mencuri aset senilai sekitar 9 juta dolar AS dari pool tersebut. Yearn mengonfirmasi bahwa, dengan bantuan tim Plume dan Dinero, mereka berhasil memulihkan 857,49 pxETH, sekitar seperempat dari aset yang dicuri. Tim berencana untuk mendistribusikan dana yang berhasil dipulihkan secara proporsional kepada para deposan yETH. Protokol keuangan terdesentralisasi ini menyatakan bahwa serangan terhadap celah tersebut terjadi pada blok 23.914.086 pada 30 November 2025, di mana penyerang, melalui rangkaian operasi yang kompleks, memaksa parser internal pool likuiditas

PANews 8 Desember memberitakan, menurut diskusi di platform X, beberapa pengembang berpendapat bahwa meskipun serangan yETH dikaitkan dengan penemuan melalui fuzzing, jalur serangan sebenarnya kompleks dan kemungkinan bahaya diperbesar secara bertahap setelah menemukan kerentanan awal yang dapat dieksploitasi. Pendiri Curve, Michael

Dilaporkan oleh Jinse Finance, menurut pemantauan SlowMist, pada 1 Desember, protokol keuangan terdesentralisasi yearn mengalami serangan peretas yang menyebabkan kerugian sekitar 9 juta dolar AS. Tim keamanan SlowMist telah menganalisis insiden ini dan mengonfirmasi penyebab utamanya sebagai berikut: Kerentanan berasal dari logika fungsi calcsupply yang digunakan untuk menghitung suplai dalam kontrak Yearn yETH Weighted Stableswap Pool. Karena adanya operasi matematika yang tidak aman, fungsi ini memungkinkan terjadinya overflow dan kesalahan pembulatan selama perhitungan, yang menyebabkan deviasi signifikan dalam hasil perkalian antara suplai baru dan saldo virtual. Penyerang memanfaatkan kelemahan ini untuk memanipulasi likuiditas ke nilai tertentu dan mencetak token pool likuiditas (LP) secara berlebihan, sehingga mendapatkan keuntungan ilegal. Disarankan untuk memperkuat pengujian skenario batas dan menggunakan mekanisme aritmatika yang telah diverifikasi keamanannya guna mencegah insiden serupa pada protokol yang sejenis.

PANews 1 Desember melaporkan, Yearn menyatakan dalam cuitannya bahwa insiden serangan terkait yETH kali ini tidak berdampak pada produk yCRV.

PANews 1 Desember, menurut PeckShieldAlert di platform X, Yearn Finance mengalami serangan, Hacker mencetak yETH tanpa batas sehingga menghabiskan dana pool, menyebabkan kerugian sekitar 9 juta dolar AS. Sekitar 1000 ETH (setara dengan 3 juta dolar AS) telah ditransfer ke Tornado Cash, alamat penyerang masih memegang aset enkripsi senilai sekitar 6 juta dolar AS.

PANews 1 Desember - Menurut laporan The Block, produk agregasi staking token yETH di bawah Yearn Finance telah diserang, di mana penyerang memanfaatkan celah untuk mencetak yETH hampir tanpa batas, menghabiskan aset di dalam kolam dalam satu transaksi. Data on-chain menunjukkan bahwa penyerang kemudian mentransfer sekitar 1000 ETH (setara dengan 3 juta dolar AS) ke protokol pencampuran Tornado Cash. Beberapa kontrak yang digunakan untuk menyerang menghancurkan diri setelah transaksi. Saat ini, skala kerugian yang tepat masih belum jelas, Yearn menyatakan sedang menyelidiki kejadian ini, V2 dan V3 mereka.