banner
banner

Serangan pinjaman kilat menyebabkan kerugian $ 34 juta, tetapi dapatkah dihentikan?

DeFi Digest dari OKEx Insights adalah pemeriksaan mingguan industri keuangan terdesentralisasi.

Pasar keuangan terdesentralisasi melihat sedikit penurunan minggu lalu karena total nilai yang terkunci dalam produk DeFi turun dari $ 12,38 miliar menjadi $ 11,04 miliar. 

Uniswap mempertahankan posisinya sebagai pemimpin pasar dengan pangsa pasar 24% dari total nilai USD yang terkunci. Pertukaran terdesentralisasi juga memiliki kumpulan likuiditas terbesar dan mempertahankan dominasi volume perdagangannya sebesar 65%. 

Didorong oleh peretasan $ 34 juta dari Harvest Finance, volume perdagangan DEX mencapai $ 3,4 miliar pada 26 Oktober.

Di bidang pinjaman terdesentralisasi, Compound terus memimpin, dengan pangsa pasar 54%.

Nilai total yang terkunci di DeFi turun sementara volume mingguan DEX meledak, setelah peretasan Harvest Finance. Sumber: DeFi Pulse dan DeBank

Token KP3R Jaringan Keep3r membuat sensasi DeFi tetap hidup

Meskipun ada sedikit penurunan nilai total yang terkunci, hype di pasar DeFi tetap hidup setelah peluncuran token baru oleh Andre Cronje. Pendiri keuangan merindukan mengumumkan KP3R, token untuknya proyek terbaru – yaitu, Keep3r Network, pasar terdesentralisasi untuk pekerjaan teknis. 

Mirip dengan proyek sebelumnya, seperti eminence.finance, Cronje menekankan bahwa keep3r.network masih dalam tahap pengujian beta. Namun, para pelaku pasar sangat antusias dengan protokol terbaru Cronje, dan KP3R meroket dari $ 25 hingga $ 350 di Uniswap dalam beberapa jam setelah peluncuran. 

Serangan pinjaman kilat senilai $ 34 juta dari Harvest Finance

Di sisi lain bidang DeFi, kerentanan keamanan dalam protokol DeFi tetap menjadi perhatian setelah Harvest Finance kehilangan $ 34 juta..

Harvest Finance adalah platform pertanian hasil yang menyediakan pelacakan APY, pengembangan strategi, dan layanan pemantauan biaya gas bagi petani. Protokol kehilangan $ 34 juta dari serangan pinjaman kilat pada 26 Oktober, dan nilai totalnya terkunci jatuh lebih dari 60%.

Apa itu pinjaman kilat?

Pinjaman kilat adalah inovasi keuangan terdesentralisasi yang diprakarsai oleh protokol pinjaman DeFi Aave pada bulan Januari. Produk ini memungkinkan pengguna untuk meminjam pinjaman tanpa memberikan jaminan apa pun. Pinjaman kilat tidak melakukan pemeriksaan kredit apa pun terhadap peminjam. 

Pinjaman flash telah mendapatkan popularitas di kalangan arbitrase, karena mereka dapat melakukan langkah-langkah berikut untuk meraup keuntungan cepat:

  1. Pinjam pinjaman.
  2. Gunakan pinjaman untuk membeli token dengan harga lebih rendah di satu DEX.
  3. Jual kembali token yang sama dengan harga lebih tinggi di DEX lain.
  4. Bayar kembali pinjaman dan bunganya.
  5. Pertahankan untung.

Tindakan tersebut dilakukan dalam transaksi on-chain yang sama. Untuk melakukan transaksi ini, arbitrase perlu mengkodekan semua langkah ke dalam kontrak pintar terlebih dahulu. Jika peminjam tidak dapat melunasi pinjaman tepat waktu, tidak ada transaksi yang akan dilakukan. (Ini konsisten dengan transaksi atom di Ethereum – jika salah satu transaksi yang dirantai gagal, rantai tersebut rusak dan perjanjian yang dikodekan dalam kontrak pintar tidak terpenuhi. Oleh karena itu, transaksi dalam kontrak pintar tidak akan dieksekusi.)

Apa yang terjadi dengan Harvest Finance?

Sementara pinjaman kilat memberikan sumber keuntungan baru dalam bidang keuangan yang terdesentralisasi, pelaku kejahatan mencoba menggunakan dana pinjaman untuk memanipulasi pasar DeFi – yang dikenal sebagai serangan pinjaman kilat.

Dalam kasus Harvest Finance, peretas mengambil serangkaian tindakan untuk keuntungan arbitrase dan memanipulasi pasar DeFi:

  1. Peretas pertama kali mendapatkan 50 juta USDC dan pinjaman flash 18,3 juta USDT dari Uniswap.
  2. Peretas kemudian mengubah 17.222 juta USDT menjadi USDC melalui Kolam Y, kumpulan likuiditas di Curve Finance. Konversi besar-besaran USDT ke USDC menaikkan harga USDC dan jumlah USDC yang dikonversi menjadi hanya 17,216 juta..
  3. Peretas kemudian menyetor 49,97 juta USDC ke brankas USDC Harvest Finance dan menerima 51,46 juta fUSDC. Setelah deposit tersebut, harga USDC per saham turun 1% (dari 0,98 menjadi 0,971). Karena perubahan nilai tidak melebihi ambang batas 3%, transaksi dijalankan dan tidak dikembalikan.
  4. Peretas mengonversi semua fUSDC ke USDC dengan keuntungan 619K USDC. Kemudian, mereka mengulangi transaksi yang sama beberapa kali untuk meraup untung cepat.
  5. Para peretas mentransfer 13 juta USDC dan 11 juta USDT ke alamat mereka. Kemudian, mereka mentransfer 1,76 juta USDC dan 718K USDT kembali ke tim Harvest Finance.

Menurut tim Harvest Finance, harga saham brankas USDC dan brankas USDT masing-masing turun 13,8% dan 13,7% – digabungkan dengan total kerugian $ 34 juta. Tim tersebut menekankan bahwa para penyerang memanfaatkan efek kerugian yang tidak permanen di pool Y di Curve. Para penyerang kemudian menyimpan dana ke dalam lemari besi Harvest Finance dengan harga yang menguntungkan dan keluar dari lemari besi dengan harga saham biasa untuk mendapatkan keuntungan. Untuk kerugian pengguna, tim Harvest Finance mendistribusikan dana yang dikembalikan kepada para korban dan meluncurkan hadiah $ 100K bagi mereka yang mungkin membantu mengembalikan dana tersebut..

Sementara itu, Uniswap mencapai volume perdagangan tertinggi sepanjang masa sebesar $ 2,19 miliar. Kurva juga terlampaui $ 2 miliar dalam volume perdagangan. Ini mungkin karena peretas Harvest Finance menggunakan pembuat pasar otomatis ini untuk mentransfer dana mereka.

Volume harian di Uniswap mencapai titik tertinggi sepanjang masa setelah peretasan Harvest Finance. Sumber: Uniswap

Bisakah serangan pinjaman kilat dihentikan?

Tim Harvest Finance mengidentifikasi beberapa kemungkinan solusi untuk mencegah serangan pinjaman kilat. Yang pertama adalah dengan mengimplementasikan mekanisme commit-and-disclosure untuk deposit. Mekanisme ini akan membuat serangan pinjaman kilat tidak dapat dilakukan dengan menonaktifkan penyetoran dan penarikan dalam transaksi yang sama. Untuk pengguna, ini berarti setoran dan penarikan dicatat dalam transaksi yang berbeda – dan mereka akan membayar biaya gas yang sedikit lebih tinggi untuk itu. Tim juga berencana untuk menetapkan ambang batas yang lebih rendah untuk pemeriksaan arbitrase setoran yang lebih ketat, yang meningkatkan biaya ekonomi untuk meluncurkan serangan pinjaman kilat..

Untuk meningkatkan penemuan harga, beberapa protokol DeFi mungkin menggunakan oracle harga eksternal, seperti Chainlink atau Maker. Namun, jika harga aset dalam protokol DeFi berbeda dari oracle, brankas aset dapat terkena arbitrase dan serangan pinjaman kilat. Tim Harvest Finance percaya oracle blockchain bukanlah solusi bagi mereka karena desain sistemnya.

OKEx Insights menyajikan analisis pasar, fitur mendalam, penelitian asli & berita yang dikurasi dari profesional crypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me