Rp5,5 Miliar Hangus! Flash Loan Nereus Dieksploitasi
8th September, 2022
Pemberi pinjaman protokol Nereus Finance yang berada di blockchain Avalanche telah menjadi korban peretasan dengan menggunakan eksploitasi smart contract untuk mendapatkan USD Coin (USDC) senilai $371.000 atau setara Rp5,5 miliar.
Scammer melakukan custom pada smart contract untuk memanipulasi pool price AVAX/USDC dengan memanfaatkan fitur flash loan.
Eksploitasi pertama dideteksi oleh Perusahaan keamanan siber Blockchain CertiK pada 6 September. Serangan tersebut berdampak terhadap aset dan liquidity pool , yaitu Nereus, decentralized exchange Trader Joe, Curve Finance.
Kecerdikan Scammer Melalui Smart Contract
Nereus Finance juga merilis detail kejadian dari insiden yang menjelaskan bahwa seorang “pengeksploitasi” dapat menerapkan smart contract khusus untuk menggunakan pinjaman kilat senilai $51 juta dari Aave untuk memanipulasi AVAX/USDC Trader Joe LP (JLP) secara tiruan dari harga kumpulan untuk satu blok.
Akibatnya, hacker anonim berhasil mencetak NXUSD token asli Nereus senilai 998.000 dengan jaminan senilai $508.000. Lalu, kemudian menukar modal ini menjadi aset yang berbeda melalui berbagai kumpulan likuiditas dan berhasil mendapatkan keuntungan bersih sebesar $371.406.
Insiden itu berakhir dengan terciptanya $500.000 dari “bad debt” NXUSD dalam protokol NXUSD, dan Bad debt (Piutang tak tertagih) akan segera dilunasi menggunakan NXUSD dari tim kas.
Tim juga mengatakan akan segera untuk memperbaiki situasi ini, setelah berkonsultasi dengan pakar keamanan, mengembangkan rencana mitigasi, dan memberi tahu penegak hukum, mereka melikuidasi dan menghentikan pasar JLP yang dieksploitasi.
Nereus Akan Lebih Hati-Hati Lagi
Menurut Nereus, eksploitasi tersebut terjadi karena adanya “langkah yang terlewatkan” dalam perhitungan harga, sehingga membuka peluang untuk dieksploitasi. Namun, ditekankan bahwa “tidak ada dana pengguna yang berisiko, dan NXUSD terus dijamin berlebihan” dan “Protokol Pinjam Meminjam tidak terpengaruh oleh eksploitasi ini.”
Nereus juga yakin kejadian eksploitasi seperti ini tidak akan dating untuk kedua kalinya, karena tim keamanan akan segera mengubah audit dan keamanannya untuk memastikan peristiwa jenis ini tidak terjadi di masa mendatang dengan catatan:
“Meskipun eksploitasi ini adalah insiden yang buruk. Tidak jarang protokol untuk menghadapi jenis tes pertempuran ini.”
Pada saat penulisan, tim Nereus terus berusaha untuk mengidentifikasi peretas dan melacak dana, serta menawarkan hadiah White Hat 20% untuk pengembalian dana.
Terlepas dari eksploitasi flash loan yang baru-baru ini terjadi dan beberapa insiden penting lainnya sepanjang tahun. Syukurnya serangan semacam ini telah mengalami penurunan secara signifikan, menurut laporan bulanan dari Skynet CertiK.
Baca juga: Proyek DeFi Ini Kena Serangan Flash Loan! Kehilangan Rp7,2 Miliar
Seorang perempuan yang gemar menulis sekaligus bercerita. Memiliki ketertarikan terhadap dunia ekonomi, travel, dan fotografi. Selalu antusias dan senang belajar dengan hal baru.
Seorang perempuan yang gemar menulis sekaligus bercerita. Memiliki ketertarikan terhadap dunia ekonomi, travel, dan fotografi. Selalu antusias dan senang belajar dengan hal baru.
