Popsicle Finance, protokol DeFi untuk imbal hasil multi rantai, mengalami kerugian sebesar US$25 juta atau Rp358 milyar setelah terkena serangan eksploitasi.
Popsicle finance Diretas
Peretasan tersebut ditemukan oleh peneliti keamanan Mudit Gupta yang berkata metodenya rumit tetapi bug atau galatnya simpel. Melalui Twitter, Gupta menjelaskan ia telah melaporkan galat serupa di protokol lain.
“Galat ini telah dieksploitasi di lusinan protokol lain,” tambah Gupta.
Popsicle Finance adalah protokol DeFi yang memiliki serangkaian produk berbeda agar pengguna dapat mengotomatisasi perolehan imbal hasil atas simpanan kripto mereka. Produk yang diretas bernama Sorbetto Fragola, bahasa Italia untuk sorbet stroberi.
Dalam versi terbaru bursa desentralistik Uniswap, penyedia likuiditas boleh menentukan rentang harga tertentu dimana mereka ingin menambah likuiditas. Bila investor mengira harga Ethereum akan terus berada antara US$2.450 dan US$2.700 seperti selama sepekan terakhir, maka investor bisa menambahkan likuiditas ke rentang harga ini saja.
Uniswap membayar penyedia likuiditas sebagian hasil keuntungan dari biaya transaksi. Biaya transaksi paling umum adalah 0,3 persen, tetapi nilai ini bisa disesuaikan.
Fitur ini berarti pengguna Uniswap diberi insentif untuk mengoptimalkan penyediaan likuiditas agar seakurat mungkin. Saat harga Ethereum bergerak ke rentang berbeda, pengguna harus mengganti parameter harganya.
Mekanisme ini bermanfaat bagi investor yang memperoleh keuntungan lebih banyak dari biaya transaksi dan juga pedagang yang ingin membeli dari kolam likuiditas dalam untuk menghindari slippage harga.
Lomba optimalisasi likuiditas bisa menjadi hal yang rumit dan berat untuk sebagian besar orang. Sebab itu, produk Sorbetto Fragola oleh Popsicle Finance bertujuan memudahkan kegiatan ini.
Dengan membayar biaya yang kecil, pengguna dapat mendepositkan simpanan kripto mereka ke Fragola dan protokol tersebut akan menyebarkan aset itu ke pool likuiditas paling menguntungkan.
Hal ini mirip penasihat investasi robot bagi proyek kripto dengan ceruk tertentu. Sayangnya, janji manis Fragola untuk memudahkan investor menjadi asam akibat kelemahan keamanan.
Kerentanan pada DeFi
Salah seorang pengguna mengeluh ia mengalami kerugian hingga ratusan ribu USD. Kendati bukan seluruh simpanannya, hal itu tetap menyakitkan. Pengguna lain melaporkan ia kehilangan 40 persen portofolionya akibat eksploitasi tersebut.
Menyusul peretasan, token asli Popsicle Finance, ICE, anjlok lebih dari 26 persen menurut data CoinGecko. Proyek tersebut menghimbau pengguna agar menarik simpanan dari kolam ETH/AXS, ETH/SLP, ETH/LINK dan EURt secepatnya.
Peretasan, eksploitasi dan dana yang dibawa kabur acapkali terjadi di dunia DeFi yang masih liar. Popsicle Finance adalah yang terbaru, tetapi kemungkinan besar bukan yang terakhir. [decrypt.co/ed]