ZkLend, platform DeFi generasi terbaru berbasis Starknet, telah dikonfirmasi mengalami serangan peretasan oleh hacker yang mengakibatkan kerugian hingga US$5 juta atau sekitar Rp81 miliar.
Insiden ini menandai kebangkitan kembali eksploitasi dalam dunia kripto setelah sempat mengalami penurunan. ZkLend secara terbuka menghubungi peretas melalui unggahan di X, menawarkan imbalan dari dana curian jika peretas mengembalikan sisanya.
“Kami memahami bahwa Anda bertanggung jawab atas serangan terhadap zkLend hari ini. Anda dapat menyimpan 10 persen dari dana sebagai hadiah whitehat dan mengembalikan 90 persen sisanya, atau tepatnya 3.300 ETH,” jelasnya di X.
Ini berarti para peretas tersebut diperbolehkan menyimpan 10 persen dari hasil curian sementara 90 persen harus dikembalikan ke alamat Ethereum yang telah ditentukan sebelumnya.
Eksploitasi Smart Contract ZkLend
CertiK Alert, perusahaan keamanan blockchain, melaporkan bahwa zkLend mengalami serangkaian transaksi yang diduga merupakan upaya manipulasi terhadap smart contract platform DeFi tersebut.
“Penyerang memanipulasi lending_accumulator agar nilainya menjadi sangat besar, lalu memanfaatkan kesalahan pembulatan selama proses ztoken mint() dan withdraw() untuk berulang kali menyetor,” ungkap CertiK.
Singkatnya, bayangkan protokol DeFi tersebut sebagai celengan digital yang menghitung setiap koin yang masuk dan keluar. Namun, ada celah yang bisa dimanfaatkan hacker dalam sistem pembulatan angkanya.
Penyerang menemukan cara untuk “mengelabui” sistem dengan mengubah pencatat saldo pinjaman (lending_accumulator) menjadi angka yang sangat besar. Karena kesalahan pembulatan, setiap kali mereka melakukan deposit, sistem salah menghitung dan memberikan bonus.
Setelah itu, mereka menarik dana dengan perhitungan yang lebih menguntungkan: saldo yang telah dimanipulasi dikalikan 1,5 lalu dikurangi 1, memungkinkan mereka menarik lebih banyak aset dari platform DeFi tersebut..
Dengan mengulang trik manipulasi ini berkali-kali, para hacker tersebut berhasil menarik aset kripto jauh lebih banyak daripada yang telah mereka setorkan sebelumnya.
Kesepakatan untuk Membebaskan Tanggung Jawab Hukum
ZkLend menyatakan bahwa jika peretas setuju untuk mengembalikan dana yang dicuri, mereka tidak akan mengambil tindakan hukum terhadap hacker. Namun, jika tidak ada tanggapan dalam dua hari ke depan, platform DeFi tersebut akan menempuh langkah hukum lebih lanjut.
“Kami sedang bekerja sama dengan perusahaan keamanan dan penegak hukum saat ini. Jika kami tidak menerima tanggapan dari Anda sebelum pukul 00:00 UTC, 14 Februari 2025, kami akan melanjutkan langkah berikutnya untuk melacak dan menuntut Anda,” tulis mereka.
Sebagai langkah pencegahan, zkLend telah menangguhkan semua fungsi withdraw dalam protokolnya untuk mencegah risiko lebih lanjut. Selain itu, mereka juga bekerja sama dengan berbagai pihak untuk melacak peretas.
“Kami secara aktif melacak dana dan berupaya mengidentifikasi peretas, bekerja sama dengan StarkWare Ltd, Starknet Foundation, zeroshadow.io (Chainalysis Incident Response), Binance Security Team, and Hypernative Labs,” tambahnya.
Seluruh tim keamanan ini terlibat dalam pelacakan dana yang dicuri serta analisis penyebab utama eksploitasi pada protokol DeFi ini. ZkLend sendiri telah berjanji untuk tetap transparan dalam proses investigasi ini. Mereka akan merilis laporan lengkap setelah analisis selesai dilakukan. [dp]