Peretasan kakap terjadi. Sejumlah kripto senilai 130 juta atau setara dengan Rp1,8 triliun raib di aplikasi Cream Finance. Ini kali ketiga aplikasi itu mengalami hal serupa.
Sebagian besar kripto yang digondol dedemit maya adalah CREAM, native crypto aplikasi desentralistik yang berjalan di blockchain Ethereum itu.
Peretasan Kakap Kripto
Temuan itu kali pertama dikabarkan oleh perusahaan PeckShield pada Rabu (27/10/2021) malam. Bukti transaksi pencurian juga disematkan oleh perusahaan itu.
Menurut perusahaan itu, modusnya serupa seperti kejadian yang lalu, di mana memanfaatkan modus “flash loan attack“.
Address asal pencurian itu pun sudah dilabeli dengan “Cream Finance Flash Loan Exploiter” sebagai penanda bahwa transaksi itu terkait pencurian yang maha besar ini.
Tercantum di data transaksi blockchain itu, peretas menukar ETH menjadi USDC di Uniswap V3 senilai US$7,4 juta. Lalu melakukan “flash loan” sebanyak lebih dari 500 ribu ETH lewat Aave Protocol V2.
Lantas menukar (“swap“) sebanyak 6,3 juta USDC menjadi DAI di Uniswap V3. Dua kripto itu adalah stablecoin bernilai dolar AS.
Sejumlah transaksi penarikan lainnya terdata secara jelas di bagian lainnya. Media daring kripto terkemuka kripto, Decrypt menyebutkan total nilai kripto yang dicuri mencapai US$130 juta, di mana sebagian besar adalah kripto CREAM.
Tim Cream Finance tidak menyangkal kejadian ini dan sudah melakukan sejumlah langkah pencegahan agar tidak banyak kripto yang hilang lagi.
“Dengan bantuan teman-teman dari @iearnfinance dan komunitas lainnya, kami dapat mengidentifikasi kerentanan dan menambalnya. Sementara itu, kami telah menghentikan pasar pinjaman v1 kami di Ethereum,” sebut tim Cream Finance, dilansir dari TheBlock.
Apa Itu Flash Loan Attack?
Flash loan attack mulai marak sejak tahun 2020 lalu, ketika aplikasi keuangan desentralistik ini mulai marak.
Flash loan attack adalah manipulasi pasar secara murni tanpa benar-benar melanggar aturan di smart contract untuk membayar kembali pinjaman sebelum transaksi pinjaman kilat (flash loan) ditutup.
Lazimnya peretas memang memanfaatkan celah kelemahan di sejumlah smart contract yang digunakan di aplikasi itu.
Bukan Serangan yang Pertama
Ini bukanlah serangan kali pertama di Cream Finance. Peretasan kakap lainnya terjadi pada Pada Februari 2021, peretas mencuri kripto senilai US$37,5 juta hanya dalam satu jam.
Kemudian pada Agustus 2021, lebih dari ada 418 juta token AMP dan 1.300 ETH yang melayang. Harga kripto CREAM sempat anjlok 28 persen setelah serangan ini.
DeFi lainnya yang bernasib serupa adalah Poly Network dengan kerugian mencapai US$600. Ini adalah peretasan terbesar dalam sejarah DeFi dan kripto. Namun, peretas berbaik hati mengembalikan semuanya. [ps]
