Lagi-lagi, sebuah aplikasi DeFi pada blockchain Fantom (FTM) telah menjadi sasaran kejahatan virtual dan diretas. Menurut periset keamanan Vahe Karapetyan, perkiraan kerugian yang dialami Grim Finance mencapai total US$40 juta setara Rp431 milyar.
Grim Finance merupakan aplikasi optimasi imbal hasil pada blockchain Fantom. Melalui Twitter, tim Grim Finance berkata, “Platform kami dieksploitasi oleh penyerang luar. Alamat penyerang telah teridentifikasi dengan total dana curian mencapai US$30 juta.”
Serangan tersebut dilakukan memanfaatkan kelemahan yang terkait dengan pinjaman kilat (flash loan) dan persoalan likuiditas.
Pertama-tama, peretas mengambil pinjaman kilat atas dua token lalu menambahkan likuiditas di bursa desentralistik SpiritSwap. Hal ini berarti peretas dapat mengambil imbalan likuiditas dalam bentuk token SPIRIT dan melakukan deposit.
Setelah itu peretas melancarkan serangkaian perintah sehingga ia berhasil meraih kendali atas sebagian besar token dalam pinjaman kilat itu. Dengan menggunakan token likuiditas SPIRIT, peretas melakukan deposit ulang dan mengumpulkan token tambahan dalam jumlah besar.
Saat ini, halaman transaksi mencakup lebih dari 40 transaksi yang terjadi selama rangkaian peretasan tersebut. Perkiraan kerugian dihitung dengan menambahkan semua transaksi, termasuk Bitcoin dan token jaringan Fantom.
Dana yang disedot belum dipindahkan ke alamat bursa atau lainnya. Sebab mayoritas dana masih disimpan di satu alamat dompet, bursa sentralistik dapat mencegat dompet peretas, seperti yang terjadi pada kasus Poly Network sebelumnya.
Grim Finance bukanlah kasus pertama bagi pencurian dana melalui aplikasi DeFi. Belum lama ini, kontrak Vee Finance diretas oleh individu anonim yang mencuri berbagai aset kripto senilai US$35 juta.
Kendati kedua kasus ini termasuk cukup signifikan, rekor peretasan terbesar dipegang oleh Poly Network yang melibatkan dana US$600 juta. Dana curian tersebut dikembalikan sehingga menyebabkan sejumlah anggota komunitas DeFi curiga peristiwa itu hanyalah demi publisitas.
Satu bulan lalu, ChainSwap, platform antar rantai desentralistik yang didukung oleh Alameda Research, turut menjadi korban pembajak blockchain. Serangan itu melibatkan lebih dari 10 token dengan total dana sekitar US$8 juta yang dicuri dari pengguna. [u.today/ed]