Pelanggaran besar proyek kripto terus memberikan tekanan pada segmen keuangan terdesentralisasi (DeFi). Insiden mencolok terakhir adalah serangan pada protokol Drift.
Ini bukan kasus tunggal untuk keuangan terdesentralisasi. Insiden serupa secara teratur menyebabkan kerugian ratusan juta dolar dan mempengaruhi ketahanan seluruh segmen. Pada saat yang sama, kerentanan muncul setiap kali di bagian infrastruktur yang berbeda.
Mengumpulkan lima peretasan terkenal yang tercatat dalam sejarah DeFi.
Drift Protocol
Pada 1 April 2026, salah satu protokol DeFi terbesar untuk perdagangan futures tanpa batas di Solana, Drift Protocol, kehilangan sekitar $285 juta. Penyebabnya bukan kesalahan dalam kode, tetapi serangan kompleks yang menggabungkan rekayasa sosial dengan penggunaan fungsi jaringan yang sah.
Persiapan memakan waktu setidaknya enam bulan. Para penyerang, yang diduga terkait dengan peretas Korea Utara, menyamar sebagai perwakilan hedging fund, menghadiri konferensi, membangun kontak dengan peserta Drift, dan bahkan menyetorkan lebih dari $1 juta ke dalam protokol untuk terlihat sebagai mitra yang dapat dipercaya.
Secara bersamaan, mereka menciptakan token palsu CarbonVote Token (CVT), menambahkan likuiditas minimal, dan secara artifisial menaikkan harga melalui manipulasi volume perdagangan. Akibatnya, oracle mulai menganggap CVT sebagai aset dengan nilai sekitar $1.
Peran kunci dimainkan oleh fungsi Solana durable nonces, yang memungkinkan untuk menandatangani transaksi sebelumnya dan mengeksekusinya setelah waktu yang lama. Penyerang mendapatkan akses ke setidaknya dua kunci anggota Security Council (multisig 2 dari 5), yang memungkinkan mereka menandatangani transaksi atas nama administrator.
Pada 1 April, transaksi yang dipersiapkan sebelumnya dieksekusi. Para penyerang mendapatkan hak administratif, menambahkan CVT sebagai jaminan dengan batas yang terlalu tinggi, menggunakannya untuk mendapatkan likuiditas dan menarik aset, termasuk USDC, SOL, dan cbBTC, dengan total sekitar $285 juta. Seluruh operasi berlangsung sekitar 12 menit.
Kasus ini menjadi salah satu yang paling mencolok untuk DeFi, karena serangan tersebut tidak ditujukan pada kode, tetapi pada proses pengelolaan dan faktor manusia.
Radiant
Pada 16 Oktober 2024, protokol kredit Radiant Capital kehilangan sekitar $50 juta akibat salah satu serangan paling kompleks dalam DeFi. Kerentanan bukan terletak pada kode, tetapi pada kepercayaan manusia dan perangkat mereka.
Serangan dimulai sebulan sebelum peretasan. Salah satu pengembang menerima pesan di Telegram dari seseorang yang diterima sebagai mantan kontraktor. Dalam arsip terdapat laporan PDF yang diduga terkait peretasan proyek lain baru-baru ini. Setelah membuka file, perangkat secara diam-diam terinfeksi malware, yang kemudian juga menjangkiti anggota tim lainnya.
Pada 16 Oktober, selama prosedur standar penandatanganan transaksi melalui multisig, para penyerang memanfaatkan akses yang diperoleh. Para pengembang melihat operasi biasa di antarmuka, tetapi sebenarnya menandatangani transaksi yang mengalihkan kontrol atas protokol.
Setelah mendapatkan tanda tangan yang diperlukan, peretas mengambil alih kontrak, memperbaruinya ke versi berbahaya, dan menarik dana dari kolam di berbagai jaringan, termasuk Arbitrum dan BNB Chain. Sebagian dana juga ditarik langsung dari dompet pengguna karena izin akses yang sebelumnya diberikan ke token.
Serangan ini juga dikaitkan dengan peretas Korea Utara.
Orbit Chain
Pada 31 Desember 2023, di jam-jam terakhir tahun yang akan berlalu, jembatan lintas rantai Korea Selatan Orbit Bridge (ekosistem Orbit Chain) kehilangan sekitar $81,5 juta akibat kompromi kunci.
Protokol menggunakan multisig untuk melindungi dana, namun penyerang mendapatkan kontrol atas cukup banyak kunci, diduga 7 dari 10. Ini memungkinkannya melakukan transaksi yang sah dan menarik dana langsung dari Ethereum Vault.
Dalam beberapa menit, aset ditarik melalui beberapa transaksi, termasuk ETH, USDT, USDC, WBTC, dan DAI. Total jumlahnya lebih dari setengah dari total dana penyimpanan saat itu.
Sebagian dana langsung dikonversi dan didistribusikan ke alamat baru. Sebelum serangan, salah satu dompet diisi ulang melalui Tornado Cash, yang menunjukkan kemungkinan keterkaitan dengan kelompok Korea Utara Lazarus.
Tim Orbit Chain menghentikan operasi jembatan dan melibatkan penegak hukum serta spesialis keamanan. Penyebab pasti kompromi kunci tidak diungkapkan. Di antara versi yang dipertimbangkan adalah rekayasa sosial, kebocoran kunci, atau peretasan infrastruktur.
Kasus ini menunjukkan bahwa bahkan multisig tidak melindungi jika penyerang mendapatkan akses ke kunci pribadi. Pada akhirnya, kerentanan terletak bukan pada kode, tetapi pada sistem pengelolaan akses.
KyberSwap (Kyber Network)
Pada 23 November 2023, bursa terdesentralisasi KyberSwap (bagian dari ekosistem Kyber Network) kehilangan sekitar $50 juta akibat kerentanan kompleks dalam kontrak pintar. Berbeda dengan banyak kasus lainnya, serangan ini sepenuhnya teknis dan tidak melibatkan rekayasa sosial atau kompromi kunci.
Kerentanan terletak pada mekanisme likuiditas terpusat KyberSwap Elastic, di mana likuiditas didistribusikan di berbagai rentang harga. Kesalahan dalam perhitungan menyebabkan pencatatan likuiditas yang tidak benar saat harga berubah.
Serangan terjadi secara bersamaan di beberapa jaringan, termasuk Ethereum, Arbitrum, dan Polygon. Penyerang menggunakan flash-loan, yaitu pinjaman instan tanpa jaminan, untuk mendapatkan jumlah besar. Dengan bantuan itu, dia secara artifisial 'memompa' harga di dalam kolam, dan kemudian, memanfaatkan kesalahan dalam perhitungan, menarik lebih banyak dana dari protokol daripada yang sebenarnya disetorkan.
Masalah kritis terletak pada kenyataan bahwa dalam kondisi tertentu, sistem menghitung likuiditas yang sama dua kali. Akibatnya, protokol memberikan lebih banyak dana daripada yang seharusnya. Serangan berlangsung dalam hitungan menit. Total kerugian mencapai sekitar $50 juta, dan jumlah dana dalam protokol hampir habis dalam satu hari.
Tim Kyber Network mengkonfirmasi bahwa kerentanan tidak terdeteksi dalam audit. Kemudian penyerang berusaha untuk bernegosiasi untuk mengembalikan sebagian dana sebagai imbalan atas kontrol atas protokol, tetapi ditolak.
Kasus ini menunjukkan bahwa bahkan kesalahan kecil dalam perhitungan dapat menyebabkan kerugian besar, terutama dalam mekanik DeFi yang kompleks.
Euler Finance
Pada 13 Maret 2023, protokol peminjaman terdesentralisasi Euler Finance kehilangan sekitar $197 juta. Ini adalah peretasan DeFi terbesar tahun itu dan contoh klasik serangan menggunakan flash-loan, berdasarkan satu kesalahan dalam kontrak pintar.
Protokol memungkinkan pengguna untuk menyetor token ke dalam kolam, meminjam dengan jaminan, dan mendapatkan bunga. Meskipun telah dilakukan audit, salah satu fungsi tidak memiliki pemeriksaan penting, yang menjadi penyebab serangan.
Penyerang menggunakan flash-loan untuk mendapatkan jumlah besar, menyetor sebagian dana ke dalam protokol dan berdasarkan itu meminjam jauh lebih banyak. Kemudian dia memanfaatkan fungsi yang rentan, yang mengurangi jaminannya, tetapi tidak menghitung utangnya.
Akibatnya, posisinya menjadi 'tidak sehat' dan berisiko dilikuidasi. Peretas memulai likuidasi untuk dirinya sendiri dan mendapatkan bonus yang karena kesalahan ternyata lebih tinggi dari utang sebenarnya. Ini memungkinkannya menarik lebih banyak dana dari protokol daripada yang disetorkan.
Skema ini telah diulang beberapa kali di berbagai kolam, termasuk DAI, USDC, dan ETH. Seluruh serangan berlangsung sekitar 20 menit.
Setelah peretasan, tim Euler menawarkan kepada peretas untuk mengembalikan dana dengan imbalan hadiah. Beberapa minggu kemudian, dia benar-benar mengembalikan hampir semua aset, yang menjadi kasus langka untuk DeFi.
\u003cc-154/\u003e, \u003cc-156/\u003e, \u003cc-158/\u003e
\u003ct-55/\u003e, \u003ct-57/\u003e, \u003ct-59/\u003e ?
Grup untuk mereka yang suka tetap up-to-date dengan perkembangan berita dunia keuangan, cryptocurrency, komoditas, dan perubahan teknologi di pasar.
🤫
Dan selain itu, kadang-kadang dalam grup ini kami akan mempublikasikan kisah yang sangat menarik ...
🙄
Selamat datang di klub! Pintu kami terbuka untuk para pelanggan!
😉