Serangan Protokol DeFi Mengakibatkan Kerugian $212K Karena Kerentanan Smart Contract

[TL; DR]

Pada tanggal 1 Agustus, protokol keuangan terdesentralisasi Convergence mengalami pelanggaran keamanan akibat kerentanan kontrak pintar.

Seorang peretas atau tim peretas berhasil memanfaatkan kerentanan tersebut, mencetak dan menjual token aslinya senilai $210.000, dan juga mencuri $2.000 dari imbalan staking yang belum diklaim.

Wireshark, pendiri anonim Convergence, memberikan laporan post-mortem terperinci yang mengungkapkan bahwa peretas menargetkan kontrak CvxRewardDistributor protokol tersebut.

Ini memungkinkan peretas untuk mencetak dan menjual 58 juta token CVG, dengan keuntungan sekitar $210.000.

Selain itu, peretas mencuri sekitar $2,000 dalam hadiah yang belum diklaim dari Convex, sebuah protokol DeFi yang bertujuan untuk mengoptimalkan hadiah untuk Curve penyedia likuiditas. Data Etherscan menunjukkan serangan terjadi sekitar pukul 3:00 pagi UTC pada tanggal 1 Agustus.

PeckShield, sebuah perusahaan keamanan blockchain, mengamati bahwa setelah mencetak token CVG, peretas dengan cepat mengonversinya menjadi 60 Ether terbungkus dan 15.900 Curve.fi FRAX. Akibat dari tindakan-tindakan ini, token tata kelola CVG mengalami penurunan harga hampir 100%, saat ini diperdagangkan pada $0,0004 dengan kapitalisasi pasar hanya $57.000, menurut CoinMarketCap.

Detail Kejadian

Convergence mengungkapkan bahwa pelanggaran terjadi karena tim secara tidak sengaja menghapus baris kode penting dalam smart contract yang bertanggung jawab atas distribusi imbalan staking CVG. Perubahan ini dilakukan setelah smart contract diaudit empat kali. “Modifikasi, yang dimaksud sebagai optimisasi gas, membuat kami menghapus baris kode yang memeriksa input yang diberikan ke fungsi,” jelaskan tim.

Hacker mengeksploitasi kontrak CvxRewardDistributor melalui fungsi claimMultipleStaking, melewati validasi. Ini memungkinkan hacker untuk menggunakan kontrak jahat terpisah dengan tanda tangan yang sama dengan fungsi claimCvgCvxMultiple. Akibatnya, hacker membuat semua token yang dialokasikan untuk emisi staking dan menjualnya di kolam likuiditas CVG, Konvergensi melaporkan.

Sementara Konvergensi meyakinkan bahwa dana pengguna tetap aman, itu merekomendasikan pengguna menarik aset mereka dari platform. “Karena eksploitasi, kontrak hadiah untuk integrasi Stake DAO saat ini tidak berfungsi. Ini akan diperbaiki, dan staker akan dapat mengklaim hadiah mereka setelah diperbaiki. Tidak ada hadiah yang hilang untuk pengguna integrasi Stake DAO, “kata Konvergensi.

Konvergensi bertujuan untuk menggabungkan likuiditas, meningkatkan pengembalian, dan memungkinkan penguncian likuid di dalam ekosistem Keuangan Kurva. Setelah peretasan, total nilai yang terkunci di Konvergensi turun dari $5,79 juta menjadi $3,69 juta, menurut data DefiLlama. Pada bulan Juli, ekosistem kriptokurensi kehilangan sekitar $266 juta akibat peretasan, terutama dari pelanggaran sebesar $230 juta dari platform perdagangan India WazirX pada 18 Juli.

Protokol Konvergensi Dijelaskan

Convergence Protocol adalah platform keuangan terdesentralisasi (DeFi) yang dirancang untuk meningkatkan likuiditas dan menghasilkan peluang dalam ekosistem Curve Finance. Tujuan utamanya adalah untuk mengumpulkan likuiditas dari berbagai sumber, mengoptimalkan pengembalian bagi pengguna, dan memfasilitasi liquid staking, memungkinkan peserta untuk mengunci aset mereka sambil tetap menjaga likuiditas.

Protokol mencapai hal ini dengan mengintegrasikan berbagai layanan dan produk DeFi, menciptakan pengalaman yang mulus bagi pengguna yang ingin memaksimalkan hasil dari aset yang dipertaruhkan. Ini menyediakan platform di mana pengguna dapat mempertaruhkan token mereka dan mendapatkan imbalan, berpartisipasi dalam kolam likuiditas, dan terlibat dalam strategi pertanian hasil. Dengan begitu, Convergence membantu pengguna memanfaatkan sebaik mungkin aset digital mereka tanpa perlu intervensi manual dan pemantauan yang konstan.

Berita terbaru: Kekhawatiran Stash senilai $168 juta Pendiri Curve

Salah satu fitur utama dari Convergence adalah fokusnya pada optimisasi gas dan desain smart contract yang efisien. Hal ini memastikan bahwa transaksi di platform tersebut hemat biaya dan cepat, meminimalkan biaya overhead yang terkait dengan operasi blockchain. Selain itu, Convergence menggunakan kerangka keamanan yang kokoh untuk melindungi dana pengguna dan menjaga integritas platform.

Melalui pendekatannya terhadap DeFi, Convergence bertujuan untuk membuka akses ke alat keuangan dan peluang canggih, memberdayakan pengguna untuk berpartisipasi dalam ekonomi terdesentralisasi dengan mudah dan percaya diri. Integrasi dengan ekosistem Keuangan Curve lebih meningkatkan daya tariknya.

Reaksi Pasca Eksploitasi Pasar

Reaksi pasar terhadap peretasan protokol Konvergensi pada 1 Agustus 2024, sangat parah dan langsung. Peretasan tersebut menyebabkan pencetakan dan penjualan tidak sah sebanyak 58 juta token CVG, yang mengakibatkan kerugian sekitar $210.000. Eksploitasi ini menyebabkan harga CVG merosot 99%, turun dari sekitar $0,12 menjadi hanya $0,0004. Penurunan drastis ini menghapus nilai pasar penuh yang sebelumnya diperkirakan sebesar $17 juta.

Setelah terjadinya peretasan, Convergence mengeluarkan komunikasi mendesak yang menyarankan pengguna untuk menghindari berinteraksi dengan protokol tersebut untuk mencegah risiko lebih lanjut. Dana yang dicuri oleh peretas segera dikonversi menjadi Ether terbungkus (wETH) dan stablecoin crvFRAX, yang kemudian disalurkan melalui Tornado Cash untuk menyembunyikan jejaknya.

Tanggapan pasar menyoroti kehilangan kepercayaan yang signifikan pada protokol, dengan investor dengan cepat menarik dana mereka dan sentimen keseluruhan menjadi sangat negatif. Insiden tersebut menekankan pentingnya yang kritis dari langkah-langkah keamanan dalam protokol DeFi dan dampak potensial dari pelanggaran keamanan terhadap nilai token dan kepercayaan investor.

DeFi Hacks tahun 2024

Pada tahun 2024, sektor keuangan terdesentralisasi (DeFi) terus menghadapi tantangan keamanan yang signifikan, dengan beberapa serangan peretasan terkenal yang mengakibatkan kerugian finansial yang besar. Salah satu insiden paling mencolok terjadi dengan Prisma Finance, platform restaking likuid yang mengalami kerugian sebesar $10 juta akibat eksploitasi pinjaman kilat pada Maret 2024. Pelaku menguras sekitar 3.257,7 ETH dari protokol, sehingga Prisma Finance harus menghentikan operasinya untuk penyelidikan menyeluruh.

Pelanggaran besar lainnya melibatkan BitForex, sebuah bursa kripto yang menghilang setelah menarik hampir $57 juta dari dompet panasnya pada Februari 2024. Insiden ini membuat pengguna tidak dapat mengakses akun mereka dan menyoroti tantangan regulasi yang terus berlanjut di Hong Kong, di mana BitForex terdaftar.

Selain itu, PlayDapp, platform permainan kripto dan NFT, mengalami eksploitasi pada bulan Februari yang menyebabkan pencetakan tidak sah sebanyak 1,79 miliar token PLA, dengan nilai lebih dari $290 juta. Penjahat mulai mencuci uang dari dana tersebut setelah eksploitasi, yang menunjukkan kompleksitas yang terlibat dalam melacak dan memulihkan aset yang dicuri di ruang DeFi.

Bulan Mei 2024 juga menyaksikan sejumlah peretasan yang signifikan, dengan total kerugian mencapai lebih dari $600 juta. Di antaranya, kompromi kunci pribadi mengakibatkan kerugian sebesar $70 juta bagi pemain besar kripto, meskipun dana yang dicuri kemudian dikembalikan oleh penyerang. Selain itu, GNUS, Fantom Proyek berbasis, mengalami peretasan sebesar $1,27 juta karena kerentanan yang memungkinkan pembuatan token GNUS palsu.

Penulis:Andrei, Peneliti Gate.io

Artikel ini hanya mewakili pandangan peneliti dan tidak merupakan saran investasi apa pun.

Gate.io mempertahankan semua hak pada artikel ini. Reposting artikel akan diizinkan asalkan Gate.io disebutkan. Dalam semua kasus, tindakan hukum akan dilakukan karena pelanggaran hak cipta.