Curve dan Protokol DeFi Lain Rugi Jutaan USD karena Bug!

Anggita Hutami

31st July, 2023

Beberapa protokol keuangan terdesentralisasi (DeFi) dilaporkan mengalami insiden eksploitasi pada hari Minggu (30/7). Eksploitasi terjadi akibat adanya celah keamanan atau bug pada bahasa pemrograman Vyper. Dampak dari peretasan tersebut menyebabkan kerugian senilai jutaan dolar AS.

Vyper adalah bahasa pemrograman kontrak yang dikhususkan untuk Ethereum Virtual Machine (EVM). Bahasa ini adalah salah satu bahasa pemrograman web3 yang populer. Masalah atau bug pada bahasa itu berdampak pada protokol DeFi, yakni: CurveFinance, Alchemix, dan Ellipsis.

Platform Terdampak Peretasan

Alchemix melaporkan kerugian sebesar US$13,6 juta dalam bentuk alETH-ETH, sementara PEGd juga kehilangan US$11,4 juta dalam bentuk pETH-ETH.

Selain itu, proyek Metronome juga dilaporkan mengalami kebocoran dana sebesar US$1,6 juta dalam kumpulan sETH-ETH. Selama peretasan berlangsung, lebih dari 32 juta token Curve DAO (CRV) senilai lebih dari US$22 juta juga diambil secara ilegal.

Tidak hanya itu, pertukaran terdesentralisasi Ellipsis juga menjadi korban. Sejumlah stable pools dengan BNB juga diretas. Dalam kasus ini, peretas menggunakan kompiler Vyper lama.

crv/eth pool drained minutes before a whitehack operation 🙁https://t.co/rhALBzkTEi
— banteg (@bantg) July 30, 2023

Sementara itu sejumlah pools Curve Finance yang menggunakan Vyper dalam versi 0.2.15, 0.2.16, dan 0.3.0 telah menjadi korban peretasan karena malfungsi kunci masuk, kerugian Curve karena masalah ini ditaksir mencapai lebih dari 47 juta dolar AS.

“Kumpulan yang ditargetkan adalah aETH/ETH, msETH/ETH, pETH/ETH dan CRV/ETH. Semua kumpulan yang tersisa aman dan tidak terpengaruh oleh bug,” kata Curve Finance di Discord.

A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.

Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023

Perusahaan audit BlockSec mencatat bahwa permasalahan pada sistem masuk kembali berpotensi mengancam semua pools yang menggunakan Ether (WETH).

Please note that this reentrancy issue is associated with the use of 'use_eth', which could potentially place the WETH-related pools in jeopardy! @CurveFinance , please DM us if you need any help. https://t.co/vjc1RRce7w pic.twitter.com/Wz8DXJZK7Y
— BlockSec (@BlockSecTeam) July 30, 2023

Peretasan tersebut juga berimbas negatif pada harga CRV. Menurut data Coinmarketcap, harga CRV diperdagangkan sebesar US$0,61 mencatat penurunan sebesar 16,90% dalam 24 jam. Selain itu, anggota komunitas juga menyadari kemungkinan efek domino yang dapat terjadi pada protokol Aave akibat penurunan harga CRV.

Penurunan harga CRV bisa memaksa pendiri Curve Finance, Michael Egorov, untuk likuidasi pinjaman senilai US$70 juta di Aave. Ini meningkatkan kekhawatiran tentang stabilitas ekosistem keuangan terdesentralisasi dan menekankan pentingnya keamanan di web3.

Cara Meminimalisir Kerugian di Curve Finance

Seorang pengguna X bernama Gavin Sanchez, membagikan tips untuk meminimalisir kerugian dari insiden peretasan Curve Finance.

Guide on how I minimized my losses from the $70M Curve Finance exploit and how to claim the compensatory $crvUSD distribution 🧵

Step 1 – Visit https://t.co/MNgUFdxWRh
Step 2 – Check eligibility
Step 3 – Follow prompts to revoke approvals and claim $crvUSD distribution#CURVE… pic.twitter.com/qyogQy9tSt
— Gavin Sanchez (@GavinSanchezDEV) July 31, 2023

Pertama, pengguna disarankan untuk mengunjungi situs refund Curve Finance
Kedua, pengguna disarankan untuk memeriksa yarat pengajuan klaim kompensasi
Ketiga, mengikuti petunjuk yang diberikan di situs tersebut untuk mencabut izin dan mengklaim distribusi $crvUSD sebagai bagian dari kompensasi.