Akropolis, aplikasi keuangan desentralistik (DeFi) kehilangan aset kripto DAI bernilai lebih dari Rp28 miliar, karena digondol dedemit maya pada 12 November 2020 lalu.
Aset kripto DAI adalah aset kripto berjenis stablecoin yang bernilai dolar, sama seperti Tether (USDT).
Menurut pihak pengelola aplikasi, peretas memanfaatkan kelemahan smart contract di aplikasi yang berjalan di blockchain Ethereum itu, di bagian “saving pools“.
“Kami sudah mengenali modus aksi peretasan yang dilakukan di seluruh smart contract di ‘saving pools” yang sebenarnya telah diaudit dua kali. Kami bekerja dengan spesialis keamanan dan penyedia analisis on-chain, sebelum mengabarkan informasi lebih terperinci,” sebut Akropolis melalui Twitter, 12 November 2020 lalu.
We recently identified a hack executed across a body of smart contracts in the "savings pools" that have been audited twice. We are working with security specialists and on-chain analytics providers and aim to make a more detailed statement shortly. Thank you for your patience.
— Akropolis (@akropolisio) November 12, 2020
Berdasarkan penelusuran bukti transaksi di blockchain Ethereum, ada satu transaksi tunggal sebanyak 2.051.159,04 DAI (Rp29,1 miliar).
Maling! Rp352 Miliar pun Raib dari Layanan Keuangan Aset Kripto Ini
Dua address Ethereum peretas pun sudah dilabeli dengan “Akropolis Hacker” untuk memudahkan pihak-pihak lain melacaknya.
Peretasan Lain
Sebelumnya, hal serupa dialami aplikasi DeFi lain, yakni Harvest Finance. Sekitar US$24 juta (Rp352 miliar) raib dari layanan keuangan aset kripto itu, pada Senin pagi (26 Oktober 2020).
Penyerang menyasar kumpulan likuiditas layanan itu, melakukan serangan arbitrase menggunakan pinjaman kilat yang besar. Pinjaman jenis ini biasanya tak menggunakan agunan. Pencurian berlangsung dalam tujuh menit saja.
Like other arbitrage economic attacks, this one originated with a large flashloan, and manipulated prices on one money lego (curve y pool) to drain another money lego (fUSDT, fUSDC), many times.
The attacker then converted the funds to renBTC and exited to BTC
— Harvest Finance (@harvest_finance) October 26, 2020
Pihak Harvest Finance mengungkapkan bahwa peretas memanipulasi harga pada satu lego money (curve y pool) untuk menguras lego money lainnya yang bernilai dolar, yakni fUSDT, termasuk fUSDC secara berkali-kali.
Peretas kemudian menukar kedua stablecoin itu menjadi renBTC dan menukarnya menjadi Bitcoin. RenBTC aset kripto bernilai sama dengan Bitcoin, tetapi diterbitkan di blockchain Ethereum.
Sementara itu harga Farm, token bawaan Harvest, turun 54 persen menjadi US$101,79 akibat kasus ini, berdasarkan data Coingecko.
Setelah serangan itu, jumlah dana yang ter-lock di layanan tersebut pun berkurang, karena pengguna khawatir serangan akan berlanjut.
Harvest Finance pun mengumumkan 10 address Bitcoin peretas, di mana diyakini bahwa dana yang dicuri mungkin telah dipindahkan.
Pihaknya juga memohon bantuan Binance, Coinbase dan Huobi untuk memblokir address itu agat tidak bisa ditukar menjadi uang fiat.
Flashloan attacker's 10 BTC addresses:
1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM
1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM
1HLG86DDEzAxAGmEzxr1SUfPCWcnWA6bMm
14stnrgMFNR4LesqQRUdo5n1VUx9xdAMeg
18w2Bm2cCsbLjWQU9BcnjzK8ErmzozrVa31/2
— Harvest Finance (@harvest_finance) October 26, 2020
Harvest Finance yang baru berusia 3 bulan itu mengatakan bahwa pelaku peretasan sangat dikenal di komunitas DeFi. Kendati demikian Harvest Finance menawarkan hadiah kepada siapa saja yang bisa menghubungi orang yang dimaksud. Hadiahnya lumayan, US$100 ribu. [red]