tentang crypto
Menggunakan pinjaman flash, para peretas berhasil mencuri sekitar $ 37,5 juta yang didistribusikan dalam berbagai cryptocurrency dan stablecoin.
Serangan yang kompleks
Harga CREAM, token yang memberdayakan protokol pinjaman keuangan terdesentralisasi dengan nama yang sama, hari ini turun drastis dari $ 288 menjadi $ 193 dalam satu jam setelah eksploitasi yang jelas melalui pinjaman kilat yang menghabiskan $ 37 juta dari protokol. Harga CREAM sekarang $ 223.
Tidak ada konfirmasi resmi atas serangan yang diberikan oleh Cream Finance, tetapi tim tersebut memposting tweet untuk mengumumkan bahwa mereka mengetahui "potensi eksploitasi". Lebih dari dua jam kemudian, protokol DeFi lain yang ditautkan ke yang pertama dan dikenal sebagai Alpha Finance mengumumkan bahwa itu telah menjadi korban "eksploitasi".
Menurut analisis awal tentang apa yang terjadi, tampaknya satu atau lebih peretas yang paham DeFi mencuri lebih dari $ 37,5 juta dalam serangan multi-tahap yang kompleks yang melibatkan pinjaman kilat, alias pinjaman kripto instan.
Peretas mendapat pinjaman crypto dari Alpha Finance, menginvestasikan uang di platform peminjaman CREAM, Iron Bank. Iron Bank baru-baru ini ditingkatkan untuk memungkinkan pinjaman tanpa jaminan dari Alpha Finance, dan pengeksploitasi menerima token turunan khusus yang disebut cySUSD.
Strategi pinjaman kilat
Pencuri berhasil mendapatkan cukup pinjaman untuk mengumpulkan sejumlah besar token cySUSD, yang dapat dia gunakan untuk meminjam apa pun di IronBank. Ia kemudian meminjam 13.244 ETH ($ 23,8 juta), $ 3,6 juta dalam stablecoin USDC, $ 5,6 juta dalam stablecoin USDT dan $ 4,2 juta dalam stablecoin DAI terdesentralisasi.
Jumlahnya setara dengan sekitar $ 37 juta. Menurut jejak yang tertinggal di blockchain, 1000 ETH ($ 1,8 juta) telah dibayarkan ke protokol Alpha dan Cream Finance, dan 320 ETH lainnya ($ 577,238) dikirim ke Tornado, alat privasi Ethereum, di samping pembayaran lain yang dilakukan untuk menutupi pinjaman besar yang dibutuhkan untuk serangan itu. Peretas menyimpan sekitar $ 19,9 juta untuk dirinya sendiri, dan seluruh eksploitasi hanya berharga $ 14.754 dalam biaya blockchain Ethereum untuk dibangun.
Masalah DeFi
Alpha Finance men-tweet bahwa bug telah diperbaiki, dan Cream Finance mengumumkan dalam tweet lain bahwa "Kontrak dan pasar CREAM telah diperiksa dan ditemukan berfungsi secara normal," tetapi bagi banyak orang, ini adalah pengingat akan gentingnya protokol DeFi.
DeFi rentan terhadap eksploitasi berbasis pinjaman flash seperti ini. Dalam kasus yang terkenal sebelum Natal, platform DeFi Warp Finance yang baru diluncurkan dirampok seharga $ 7,7 juta dalam bentuk stablecoin dalam serangan pinjaman kilat lainnya. Dan dalam serangan terhadap platform pinjaman crypto Compound, para penghisap membawa pulang $ 89 juta. Oleh karena itu, jelas bahwa masih banyak yang harus dilakukan untuk mencegah cryptocurrency terus dicuri dari lingkungan DeFi.
