Serangan baru-baru ini di sektor DeFi – telah menunjukkan kelemahan dalam sistem penyimpanan cryptocurrency, khususnya vault ERC-4626. Hacker memanfaatkan alat yang sudah dikenal yang disebut flash loan (pinjaman kilat, meminjam dan membayar kembali dalam sekejap) untuk memanipulasi nilai tukar dan menipu sistem penilaian, yang juga dikenal sebagai oracle.
Pada tanggal 27/2, seorang hacker melakukan apa yang disebut "serangan sumbangan" dengan meminjam sekitar 4 juta USD dari Aave – sebuah platform pinjaman cryptocurrency. Tujuannya adalah token wUSDM, yang merupakan bagian dari sistem vault ERC-4626 dari Mountain Protocol. Ini adalah jenis cryptocurrency yang menguntungkan, yang terhubung dengan stablecoin USDM – cryptocurrency yang memiliki nilai stabil karena dijamin oleh obligasi jangka pendek AS. Hacker dengan sengaja mendorong nilai tukar wUSDM dari 1,06 menjadi 1,7, membuatnya tampak lebih berharga daripada kenyataannya.
Selanjutnya, hacker menggunakan dua akun untuk "melikuidasi" diri sendiri - yaitu berpura-pura menjual aset miliknya sendiri - di Venus Protocol, sebuah platform pinjaman lainnya. Meskipun Venus dengan cepat mengunci transaksi untuk mencegahnya, hacker tetap meraup sekitar 200.000 USD keuntungan. Sementara itu, Venus mengalami kerugian lebih dari 716.000 USD, menurut laporan analisis dari Chaos Labs, sebuah perusahaan yang mengkhususkan diri dalam manajemen risiko.
Yoni Keselbrener, kepala departemen DeFi di Lightblocks Labs, berbagi dengan The Block: “Kedua tim telah merespons tepat waktu dengan mengunci pasar, menyesuaikan aturan risiko, dan membawa nilai tukar kembali ke level normal.” Keselbrener adalah kontributor untuk eOracle, sebuah sistem yang menyediakan data nyata untuk aplikasi terdesentralisasi di Ethereum.
Vault ERC-4626, diluncurkan sejak Mei 2022, adalah standar untuk membuat penyimpanan cryptocurrency. Namun, laporan dari Chaos Labs menunjukkan bahwa standar ini "tidak memiliki langkah perlindungan saat nilai tukar berubah secara tidak normal di platform pinjaman."
Pada Januari 2024, Euler Finance telah mengumumkan penelitian yang memperingatkan bahwa sebagian besar vault ERC-4626 tidak memiliki mekanisme keamanan untuk mencegah manipulasi nilai tukar. Mereka berpendapat bahwa perlu menggabungkan berbagai langkah perlindungan untuk lebih efektif.
Chaos Labs juga berpendapat bahwa serangan tersebut bisa dihindari jika langkah-langkah seperti: "Kontrak wUSDM harus menggunakan sistem pemeriksaan nilai tukar dari berbagai sumber yang berbeda. Atau jika Venus diberi peringatan lebih awal, mereka dapat membatasi kenaikan nilai tukar yang tidak normal." Untuk mencegah terulangnya kejadian serupa, Aave berencana menerapkan mekanisme CAPO – alat yang membatasi kenaikan harga yang tidak nyata – untuk semua jenis cryptocurrency yang menguntungkan, mencegah hacker menciptakan keuntungan palsu.
Akun X dari Curve Finance berkomentar: "Celah ini tidak hanya terjadi pada vault yang memenuhi standar tetapi pada semua jenis vault. Ini adalah kesalahan umum di platform pinjaman."
Keselbrener berkomentar: “Mekanisme CAPO sangat efektif, tetapi membutuhkan kode pemrograman yang lebih kompleks dan perlu dipantau secara terus-menerus. Kita harus memastikan itu tidak menghalangi keuntungan yang sah tetapi tetap mencegah hacker.” Dia menambahkan: “Ketika DeFi semakin kompleks, kita tidak bisa hanya mengandalkan data harga yang sederhana. Penting untuk memahami risiko dari setiap jenis cryptocurrency. Sistem pemeriksaan harga dari berbagai sumber bukanlah kelemahan, tetapi merupakan lapisan perlindungan yang penting. Penyedia oracle khusus dapat merancang langkah-langkah untuk mendeteksi dan mencegah serangan semacam ini.”
Disclaimer:Artikel ini hanya untuk tujuan informasi, bukan saran investasi. Investor harus melakukan penelitian yang cermat sebelum membuat keputusan. Kami tidak bertanggung jawab atas keputusan investasi Anda
Thailand menyetujui USDT dan USDC, memperluas perdagangan cryptocurrency
Otoritas keuangan California memperingatkan tentang 7 jenis penipuan cryptocurrency dan AI baru
Microsoft menemukan trojan StilachiRAT menyerang dompet cryptocurrency di Google Chrome dari jarak jauh
Thạch Sanh
@media only screen and (min-width: 0px) dan (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width:320px;
tinggi: 100px;
}
}
@media hanya layar dan (min-width: 728px) dan (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width: 728px;
height: 90px;
}
}
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Serangan DeFi baru-baru ini mengungkapkan celah dalam standar vault ERC-4626
Pada tanggal 27/2, seorang hacker melakukan apa yang disebut "serangan sumbangan" dengan meminjam sekitar 4 juta USD dari Aave – sebuah platform pinjaman cryptocurrency. Tujuannya adalah token wUSDM, yang merupakan bagian dari sistem vault ERC-4626 dari Mountain Protocol. Ini adalah jenis cryptocurrency yang menguntungkan, yang terhubung dengan stablecoin USDM – cryptocurrency yang memiliki nilai stabil karena dijamin oleh obligasi jangka pendek AS. Hacker dengan sengaja mendorong nilai tukar wUSDM dari 1,06 menjadi 1,7, membuatnya tampak lebih berharga daripada kenyataannya.
Selanjutnya, hacker menggunakan dua akun untuk "melikuidasi" diri sendiri - yaitu berpura-pura menjual aset miliknya sendiri - di Venus Protocol, sebuah platform pinjaman lainnya. Meskipun Venus dengan cepat mengunci transaksi untuk mencegahnya, hacker tetap meraup sekitar 200.000 USD keuntungan. Sementara itu, Venus mengalami kerugian lebih dari 716.000 USD, menurut laporan analisis dari Chaos Labs, sebuah perusahaan yang mengkhususkan diri dalam manajemen risiko.
Yoni Keselbrener, kepala departemen DeFi di Lightblocks Labs, berbagi dengan The Block: “Kedua tim telah merespons tepat waktu dengan mengunci pasar, menyesuaikan aturan risiko, dan membawa nilai tukar kembali ke level normal.” Keselbrener adalah kontributor untuk eOracle, sebuah sistem yang menyediakan data nyata untuk aplikasi terdesentralisasi di Ethereum.
Vault ERC-4626, diluncurkan sejak Mei 2022, adalah standar untuk membuat penyimpanan cryptocurrency. Namun, laporan dari Chaos Labs menunjukkan bahwa standar ini "tidak memiliki langkah perlindungan saat nilai tukar berubah secara tidak normal di platform pinjaman."
Pada Januari 2024, Euler Finance telah mengumumkan penelitian yang memperingatkan bahwa sebagian besar vault ERC-4626 tidak memiliki mekanisme keamanan untuk mencegah manipulasi nilai tukar. Mereka berpendapat bahwa perlu menggabungkan berbagai langkah perlindungan untuk lebih efektif.
Chaos Labs juga berpendapat bahwa serangan tersebut bisa dihindari jika langkah-langkah seperti: "Kontrak wUSDM harus menggunakan sistem pemeriksaan nilai tukar dari berbagai sumber yang berbeda. Atau jika Venus diberi peringatan lebih awal, mereka dapat membatasi kenaikan nilai tukar yang tidak normal." Untuk mencegah terulangnya kejadian serupa, Aave berencana menerapkan mekanisme CAPO – alat yang membatasi kenaikan harga yang tidak nyata – untuk semua jenis cryptocurrency yang menguntungkan, mencegah hacker menciptakan keuntungan palsu.
Akun X dari Curve Finance berkomentar: "Celah ini tidak hanya terjadi pada vault yang memenuhi standar tetapi pada semua jenis vault. Ini adalah kesalahan umum di platform pinjaman."
Keselbrener berkomentar: “Mekanisme CAPO sangat efektif, tetapi membutuhkan kode pemrograman yang lebih kompleks dan perlu dipantau secara terus-menerus. Kita harus memastikan itu tidak menghalangi keuntungan yang sah tetapi tetap mencegah hacker.” Dia menambahkan: “Ketika DeFi semakin kompleks, kita tidak bisa hanya mengandalkan data harga yang sederhana. Penting untuk memahami risiko dari setiap jenis cryptocurrency. Sistem pemeriksaan harga dari berbagai sumber bukanlah kelemahan, tetapi merupakan lapisan perlindungan yang penting. Penyedia oracle khusus dapat merancang langkah-langkah untuk mendeteksi dan mencegah serangan semacam ini.”
Disclaimer: Artikel ini hanya untuk tujuan informasi, bukan saran investasi. Investor harus melakukan penelitian yang cermat sebelum membuat keputusan. Kami tidak bertanggung jawab atas keputusan investasi Anda
Thạch Sanh
@media only screen and (min-width: 0px) dan (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width:320px; tinggi: 100px; } } @media hanya layar dan (min-width: 728px) dan (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width: 728px; height: 90px; } }