Peretasan kripto Tether (USDT) dan Wrapped Bitcoin (BTC) itu setara dengan Rp17,7 milyar dari aplikasi Inverse Finance. Peretasan yang terjadi hari ini adalah peretasan kedua, sebelumnya merugi US$15,6 juta pada dua bulan lalu.
Hanya berselang dua bulan setelah peretasan kripto senilai US$15,6 juta, Inverse Finance kembali jadi korban “eksploitasi flashloan“. Kali ini peretas sukses mengantongi kripto Tether (USDT) dan Wrapped Bitcoin (BTC) senilai US$1,26 juta atau setara dengan Rp17,7 milyar.
Peretasan Kripto Terjadi Lagi, Aplikasi Ini Jadi Korban Kali Kedua
Inverse Finance adalah aplikasi keuangan bertenaga blockchain Ethereum. Aplikasi itu memiliki fitur andalan, yakni flashloan, layanan pinjaman yang harus dikembalikan dalam satu transaksi. Layanan ini diperkuat dengan data harga eksternal menggunakan piranti lunak “oracle“.
Serupa dengan kasus “flashloan attack” sebelumnya, peretas sejatinya hanya menggunakan celah yang memang ada di aplikasi itu.
Perusahaan keamanan blockchain BlockSec mengatakan kepada Cointelegraph, bahwa peretas meminjam sebanyak 27.000 WBTC [token yang nilainya setara dengan Bitcoin) dalam flashloan, menukar sejumlah kecil ke token liquidity pool (LP) yang digunakan untuk mengirim jaminan di Inverse Finance sehingga pengguna dapat meminjam aset kripto.
WBTC yang tersisa kemudian ditukar menjadi USDT, menyebabkan harga token LP yang dijaminkan oleh peretas menjadi naik secara signifikan dari sisi “oracle“.
Dengan harga token LP itu sekarang bernilai jauh lebih tinggi, karena kenaikan harga, peretas pun meminjam jumlah yang lebih besar dari stablecoin DOLA.
Karena harga DOLA jauh lebih berharga daripada jaminan yang disimpannya, peretas lalu menukar DOLA menjadi USDT, dan menukar WBTC menjadi USDT sebelumnya untuk membayar pinjaman awal.
Mengenal Tornado Cash, Dambaan Peretas Kripto untuk Cuci Dana Curian
Pihak pengembang Inverse Finance untuk sementara menghentikan peminjaman dan menghapus stablecoin DOLA dari pasar, akibat peretasan kripto terjadi lagi. Mereka memastikan tidak ada dana pengguna yang jadi korban, hanya dana agunan yang terdampak.
“Kami telah menghentikan sementara pinjaman setelah insiden pagi ini, di mana DOLA dihapus dari pasar uang kami, Frontier. Kami sedang menyelidiki insiden tersebut namun tidak ada dana pengguna yang diambil ataupun terancam hilang. Kami sedang menyelidiki dan akan memberikan rincian lebih lanjut segera,” sebut pengembang di Twitter.
Secara total, peretas mengantongi 99.976 USDT dan 53,2 WBTC, menukarnya menjadi kripto ETH sebelum mengirimkan semuanya ke Tornado Cash agar lebih sulit dilacak. [ps]