Insiden peretasan DeFi pada tahun 2021

Sumber: cipher trace Kecerdasan Cryptocurrency.

Kata kunci: Keuangan Terdesentralisasi (DeFi), serangan DeFi, peretasan blockchain, peretasan DeFi terbesar, peretasan blockchain, peretas.


Mengapa proyek DeFi?

Oleh karena itu, banyak pertanyaan muncul mengapa banyak yang masih tertarik dengan blockchain ini, meski adanya serangan besar-besaran. Mungkin menarik bagi Anda untuk mengetahui bahwa, tidak seperti sistem keuangan konvensional di mana operasi orang dalam mengatur operasi dan mengendalikan sektor ini, DeFi tidak bergantung pada otoritas tersebut.

Keuangan terdesentralisasi, didukung oleh teknologi blockchain, telah merevolusi keuangan karena sepenuhnya non-custodial dan terdesentralisasi. Pengguna diizinkan untuk memiliki kontrol penuh dan mentransaksikan aset Digital mereka: tidak ada otoritas pusat. Desentralisasi ini dimungkinkan oleh smart contract di jaringan blockchain, yang hanya mengizinkan tindakan di jaringan ketika kondisi yang ditetapkan terpenuhi. Oleh karena itu, kami memiliki layanan keuangan peer-to-peer yang memungkinkan pinjaman terdesentralisasi, pertukaran terdesentralisasi, derivatif, sistem pembayaran, yield farming, prediksi market yang lebih cepat, lebih murah, dapat diaudit, dan mulus.

Sumber: DeFi TVL dengan pulsa DeFi.

Misalnya, proyek Ethereum DeFi telah mendapatkan adopsi yang luas karena tingkat bunga yang tinggi tahun sebelumnya, membuat banyak pengguna mendapat keuntungan yang signifikan. Pinjaman dan bunga yang diperoleh dari pinjaman menghasilkan "pendapatan pasif" bagi pengguna. Yield farming memungkinkan pengguna untuk memanfaatkan aset kripto mereka untuk menghasilkan pengembalian yang bagus.


Meretas melalui Desain Smart Contract yang lemah

Terlepas dari serangan luas dalam penurunan pada industri blockchain, DeFi telah memburuk dengan faktor 2,7 dibandingkan dengan tahun lalu. Kerugian ini datang melalui berbagai cara seperti peretasan, rugpull, & kegagalan sistem, dan pencurian.

Sumber: CipherTrace

Dalam kebanyakan kasus, peretasan DeFi terjadi ketika Smart contract yang diterapkan pada blockchain salah, penyalahgunaan protokol pihak ketiga, ketidakmampuan pengembang, dan kesalahan logika bisnis, yang berpotensi membuat proyek rentan terhadap peretas. Kesalahan kontrak ini seringkali hampir tidak dapat dibatalkan, begitu juga bug, sehingga meningkatkan risiko. Sayangnya, kekurangan ini masih lazim di kalangan DeFi.

Para pakar mengatakan bahwa peretas mengeksploitasi kelemahan dalam kriptografi atau pengkodean proyek DeFi ini untuk mengotorisasi pergerakan dana.

Sumber: Konsultasi Cointelegraph

PS: Dengan total $906 juta, Poly Network, Compound, dan Cream Finance telah mencapai proyek DeFi yang paling terpengaruh pada tahun 2021.


1. Peretasan DeFi terbesar di tahun 2021: Peretasan Poly Network

Pada 10 Agustus, kerugian Kripto paling signifikan dalam sejarah, sebesar $612 juta, dicatat oleh Poly Network, melampaui kerugian MtGox dan Coincheck. Biasanya, peretas DeFi menargetkan instrumen DeFi tertentu, tetapi dalam kasus ini, infrastruktur Poly Network adalah fokusnya.

Tujuan peretas adalah untuk mendapatkan kendali penuh atas smart contract pertukaran terdesentralisasi (DEX), memberinya akses ke token yang terkunci dalam kontrak.

Total token jaringan Ethereum senilai $273 juta telah dicuri; $85 juta dalam USD Coin (USDC) dari Polygon network, dan Binance Smart Chain senilai $253 sejumlah renBTC yang cukup besar, wrapped Bitcoin (wBTC), dan wrapped Ether (wETH).

Poly Network beroperasi dengan smart contract yang menghubungkan blockchain independen untuk memfasilitasi transfer token. Peretas ini, yang kabarnya dikenal sebagai White Hat, mengeksploitasi smart contract CrossChainManager dan menukar kunci penyimpanan kontrak di Poly Network. Manipulasi ini memberinya kendali penuh, memungkinkan dia untuk membuka dan memindahkan token ke alamat pilihannya.

Anehnya, peretas menolak tawaran yang dibuat oleh Poly network, tetapi pada 11 Agustus, penyerang mulai mengembalikan sebagian dana yang dicuri ke Poly Network.

Pada upaya peretas, tampaknya ia menggunakan kembali dompet dengan pertukaran terkemuka yang memiliki beberapa informasi tentang dirinya melalui protokol kenal pelanggan Anda.
Menurut CipherTrace, sebagian besar dana yang dicuri telah dikembalikan ke alamat yang dipilih Poly Network.
Alamat-alamat ini adalah:

· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc


2. Peretasan Compound Finance

April 19, 2021, EasyFI kehilangan sekitar $75 juta token EASY dan $6 juta likuiditas pengguna. EasyFi adalah fork Compound Finance yang beroperasi di Polygon Network Layer 2. Peretas mengakses kunci admin proyek, yang memungkinkan pengembang memperbarui protokol mereka. Oleh karena itu, tim telah mengubah protokol jaringan blockchain untuk mengimbangi kerugian mereka dan menghindari serangan di masa depan.


3. Serangan pinjaman kilat year finance

Yearn Finance (YFI) diserang oleh peretas pada Februari 2021, melarikan diri dengan $2,8 juta. Peretas tersebut mengalihkan $11 juta dari brankas DIA melalui pinjaman kilat untuk membuat pinjaman yang dijaminkan. Peretas misterius ini memanfaatkan kelemahan desain untuk memulai "serangan pinjaman kilat" dengan menggunakan lima protokol DeFi yang berbeda; Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX, dan Yearn Finance (YFI).


4. Peretasan PAID Network 2021

Peretas memanipulasi fungsi pemutakhiran Smart contract dengan menggunakan kunci yang disusupi ke penyebar kontrak Paid Network. Akses ini memungkinkan dia untuk mencetak dan membuang lebih dari 100 juta, menghasilkan tarikan inflasi yang menyebabkan token kehilangan sekitar 85% dalam market value.


5. Peretasan Cream Finance sebesar $130 juta

Pada tahun 2021 saja, Cream Finance telah mengalami tiga serangan berbeda yang berjumlah hingga $186,6 juta. - pada bulan Februari, peretas melakukan penetrasi dengan menjuluki smart contract protokol Alpha Homora. Sekitar $ 37,5 juta dalam ETH dan stablecoin ditemukan hilang.

- Pada akhir Agustus, Cream Finance mengalami serangan serupa ketika peretas mencuri $ 18,8 juta dalam token Ether (ETH) dan AMP.

-Cream Finance mengalami serangan baru pada 27 Oktober 2021. Kerugiannya diperkirakan bernilai sekitar $ 130 juta kali ini. Menjadikannya peringkat 3 serangan tertinggi tahun 2021
Penyerang mengeksploitasi kerentanan dalam smart contract pinjaman kilat (pinjaman instan) dari Cream Finance di jaringan Ethereum.


6. Pencurian token BadgerDAO $120 juta.

Dalam protokolnya, pemegang Bitcoin dapat "menjembatani" mata uang kripto mereka ke platform Ethereum melalui tokennya, memungkinkan mereka untuk mendapatkan keuntungan dari peluang DeFi yang mungkin tidak mereka akses.

Menurut sumber keamanan, pecksheild, bekerja dengan Badger DAO untuk menyelidiki token yang dicuri, mengkonfirmasi bahwa pelaku jahat mengantongi sekitar $ 120 juta token pada 1 Desember 2020. Mereka mengklaim bahwa pelaku jahat memasukkan skrip di situs web mereka untuk mengganggu transaksi Web3, meminta transfer token korban ke alamat yang dipilih penyerang. Tim Badger mengklaim bahwa mereka melihat beberapa jejak pada 10 November, tetapi hampir tidak dapat dilacak karena peretas menjalankannya dengan parah pada interval yang berbeda.

Meskipun tidak ada kesalahan dalam teknologi Blockchain itu sendiri, peretas mengeksploitasi pengguna di situs web2.0 Badger saat melakukan transaksi mereka. Ini menyebabkan badger membekukan platformnya karena transfer tidak sah yang terdeteksi oleh timnya. Itu menghentikan semua Smart contract dan meminta pengguna untuk menolak semua transaksi ke alamat penyerang.
Sejak itu, perusahaan tersebut telah mempertahankan ahli forensik data Chainalysis untuk menyelidiki skala penuh sambil bekerja sama sepenuhnya dengan badan-badan eksternal untuk penyelidikan.


Kesimpulan

-Menurut coin Telegraph, di antara peretasan kripto 2021, hanya 37% yang diaudit.
-Sekitar 60% lebih sedikit dampak serangan dibandingkan dengan proyek yang tidak diaudit.
-Hasil ini juga mengklaim bahwa hingga $1,3 miliar berasal dari yang tidak diaudit.

Kami kemudian dapat menyimpulkan bahwa audit sangat penting untuk menyediakan protokol DeFi yang aman untuk pengadopsi blockchain. Baru-baru ini, terdapat lebih banyak permintaan untuk audit keamanan smart contract dan prosedur audit pihak ketiga untuk memastikan kelayakan proyek ini sebelum mereka mempublikasikan. Kesimpulannya, investor perlu melakukan penelitian menyeluruh sebelum mengalokasikan dana untuk proyek DeFi. Namun demikian, peretasan dan pencurian ini telah menekankan kehati-hatian kepada komunitas blockchain, mendorong sektor ini menuju kemajuan dan kredibilitas.



Penulis: Gate.io Pengamat: M. Olatunji
Penafian:
* Artikel ini hanya mewakili pandangan para pengamat dan bukan merupakan saran investasi.
*Gate.io memiliki semua hak atas artikel ini. Memposting ulang artikel akan diizinkan asalkan diberikan izin oleh Gate.io. Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta.