10 Kasus Peretasan DeFi Terbesar dalam Sejarah
3rd April, 2022
DeFi atau keuangan terdesentralisasi adalah aplikasi blockchain yang memutus perantara bagi masyarakat yang ingin mengakses layanan bank tanpa harus membuka bank.
Di DeFi layanan pinjaman, tabungan, swap tersedia untuk digunakan.Ada berbagai keuntungan dari DeFi karena sistemnya yang terdesentralisasi, layanan yang beragam, dan bisa digunakan kapan saja, di mana saja.
Sama dengan kemudahannya yang menggiurkan, DeFi pada kenyataannya juga memiliki risiko yang sangat besar.
Peretasan DeFi jadi momok yang menakutkan, sebab semua orang dapat menjalankan protokol, membuat smart contract, dan memanipulasi kode.
Ada banyak celah kejahatan yang bisa dimanfaatkan apabila pengguna tidak jeli dalam memilih platform.
Pada 2021 DeFi telah kehilangan $ 10,5 miliar karena pencurian, menurut laporan bulan November oleh Elliptic.
Apa saja kasus hack DeFi terbesar dalam sejarah? Berikut ini ulasannya.
PolyNetwork
Peretasan DeFi paling parah terjadi pada Poly Network. Pencurian dimulai ketika seorang peretas mengeksploitasi kerentanan dalam “panggilan kontrak” Poly Network, potongan kode yang mendukung protokol.
Peretas dengan cepat menghasilkan $611 juta dalam berbagai cryptocurrency, membuat Poly menerbitkan surat untuk peretas tersebut.
Untuk mengatasi hal ini Poly pun bertindak cepat untuk menjalin komunikasi dengan peretas agar mau mengembalikan dana yang ia curi, hasilnya pencuri tersebut pun mengembalikan dana.
Menurut peretas itu, dana itu memang akan dikembalikan, pencurian dilakukan untuk memberikan “pelajaran” bagi Poly Network untuk lebih menjaga keamanannya.
Baca juga: Peretasan Poly Network Berakhir Bahagia! Ini Kabar Terbaru
Ronin Axie Infinity
Axie Infinity game NFT populer juga merasakan ganasnya para peretas dan kehilangan $622 juta yang terjadi di jaringan Ronin yang merupakan Ronin, sidechain Ethereum yang dibuat khusus untuk game Blockchain.
Menurut laporan dari Sky Mavis, penyerang menggunakan “pintu belakang melalui node RPC bebas gas kami, yang mereka gunakan untuk mendapatkan tanda tangan validator Axie DAO.”
Dengan menggunakan exploit, penyerang kemudian dapat menandatangani transaksi dari lima dari sembilan node validator di jaringan Ronin, termasuk node AxieDAO dan empat node Sky Mavis sendiri.
Hal tersebut, pada gilirannya, membiarkan penyerang memalsukan transaksi dan mengklaim 173.600 WETH (Wrapped Ethereum) dan 25,5 juta USDC, dengan total sekitar $622 juta.
Wormhole
Karena semakin banyak blockchain layer-1 dengan DeFi yang dibangun di atasnya, ada keinginan yang lebih besar bagi pengguna untuk mentransfer dana antar rantai.
Jembatan lintas rantai menjawab kebutuhan itu, tetapi juga memunculkan kerentanan baru. Insiden lintas rantai yang paling buruk terjadi pada Januari 2022, ketika Wormhole, sebuah jembatan populer, kehilangan $320 juta di Wrapped Ethereum (wETH).
WETH adalah mata uang kripto yang dipatok dengan harga Ethereum dengan basis 1:1.
Peretas menargetkan bridge di Solana, di mana pengguna harus terlebih dahulu mengunci Ethereum ke dalam kontrak pintar untuk mendapatkan jumlah yang setara dalam Wrapped Ethereum.
Peretas berhasil menemukan jalan keluarnya dengan mencetak WETH tanpa mengunci ETH di Wormhole.
Compound
Seperti kebanyakan protokol DeFi, Compound protokol peminjaman memiliki token tata kelola, COMP. Protokol mendistribusikan token kepada pengguna dalam kondisi tertentu.
Ada satu waktu dimana token senilai $80 juta tersebut sampai ke alamat yang salah, melihat hal tersebut tim Compound pun bergegas memperbaikinya, di tengah kesibukan dan keresahan pada pengguna, brankas Compound ikut kehilangan $68,8 juta .
Total Compound kehilangan hampir $150 juta pada 2021. Untungnya setengah dana itu berhasil dikembalikan setelah pendiri Compound Robert Leshner memposting unggahan di twitternya.
Vulcan Forged
Pengguna Vulcan Forged, platform play-to-earn di Polygon kehilangan $140 juta.
Menurut laporan post-mortem yang dikutip dari Decrypt, seorang peretas memperoleh kredensial dari dompet pengguna terpusat platform Venly untuk mendapatkan kunci pribadi ke 96 dompet kripto.
Kemudian, peretas menggunakannya untuk mendapatkan kunci pribadi dalam fitur portofolio aset platform MyForge dan akhirnya berhasil mendapatkan 4,5 juta token PYR asli Vulcan Forged.
Cream Finance
Peretasan DeFi selanjutnya terjadi pada protokol peminjaman Cream Finance kehilangan $130 juta dalam serangan pinjaman kilat pada Oktober 2021. Itu menandai serangan ketiga yang diderita oleh protokol tersebut.
Flash loans atau pinjaman kilat pada dasarnya memungkinkan pengguna untuk mengambil pinjaman instan, asalkan pengguna membayarnya kembali dalam transaksi yang sama.
Meskipun berguna untuk permainan arbitrase, mereka digunakan secara luas oleh aktor jahat untuk mengeksploitasi kerentanan dalam protokol DeFi.
Dalam kasus Cream Finance, peretas pinjaman kilat mampu mengeksploitasi kerentanan harga dengan berulang kali mengambil pinjaman kilat di berbagai alamat Ethereum.
Badger DAO
Pada bulan Desember 2021, jembatan atau bridge Bitcoin-ke-DeFi Badger DAO menderita kerugian $120 juta karena ada pengguna yang menipu anggota Badger DAO untuk menyetujui transaksi berbahaya.
Dengan persetujuan itu, pencuri dapat mengontrol dana brankas pengguna dan memindahkan dana.
Perusahaan keamanan Blockchain PeckShield mengatakan kepada Decrypt bahwa kontrak protokol aman dari eksploitasi, dan hanya antarmuka pengguna yang terpengaruh.
bZx
Protokol pinjaman multi-rantai bZx diretas pada November 2021 setelah “kunci pribadi” disusupi. Protokol kehilangan total $55 juta yang digunakan di Binance Smart Chain dan Polygon.
Dalam serangan lain pada September 2020, bZx kehilangan 30% dari dana yang terkunci di brankasnya, yang kemudian bernilai $8 juta.
Namun, pengguna dengan posisi margin terbuka tidak mengalami kerugian karena dalam sebuah laporan, dana tersebut didebitkan ke dana asuransi bZx.
PancakeBunny
Seorang peretas memanipulasi algoritme penetapan harga PancakeBunny melalui serangkaian delapan serangan pinjaman kilat atau flash loan untuk mendongkrak harga token asli protokol, $BUNNY.
Peretas itu menghasilkan $45 juta dengan membeli $BUNNY murah dengan harga pasar dan menjualnya dengan harga tinggi.
Vee Finance
September 2021, hanya seminggu setelah platform pinjaman Vee Finance merayakan tonggak sejarah senilai $300 juta dalam nilai total aset yang dikunci, ia harus mengalami hack DeFi, karena fitur perdagangan leverage Vee Finance mengandalkan harga token yang disediakan oleh protokol likuiditas utama Avalanche, Pangolin.
Untuk menyalahgunakannya, penyerang membuat tujuh pasangan perdagangan di Trenggiling, menyediakan likuiditas, dan akhirnya menempatkan perdagangan dengan leverage di Vee.
Itu memungkinkan mereka untuk menguras $35 juta dalam cryptocurrency dari protokol.
Itu dia 10 kasus peretasan DeFi terbesar, dengan adanya kasus-kasus ini para pengembang DeFi pun terus belajar agar kasus ini tidak terulang dan meningkatkan keamanannya.
Bagi pengguna peretasan ini juga bisa menjadi pengingat bahwa keamanan di crypto masih cukup rentan.
Maka dari itu, para pengguna perlu melakukan proteksi maksimal atas aset yang mereka miliki baik di DeFi atau platform crypto lainnya.
Artikel ini bersumber dari Decrypt, ditulis dan diolah kembali oleh Coinvestasi.
Anisa tertarik dengan dunia tulis menulis dan copyediting sejak bangku SMA dan diperdalam di dunia perkuliahan. Saat ini tertarik dan tengah mendalami bidang ekonomi terutama terkait investasi dan cryptocurrency
Anisa tertarik dengan dunia tulis menulis dan copyediting sejak bangku SMA dan diperdalam di dunia perkuliahan. Saat ini tertarik dan tengah mendalami bidang ekonomi terutama terkait investasi dan cryptocurrency
