Beanstalk Farms, protokol DeFi berbasis Ethereum, diserang peretas pada 17 April 2022, sehingga mengakibatkan kerugian hingga 182 juta dolar AS.
Berdasarkan informasi dari perusahaan keamanan blockchain Peck Shield, peretas telah menguras cryptocurrency senilai 182 juta dolar AS dari Beanstalk Farms melalui eksploitasi flash loan. Cryptocurrency senilai 80 juta dolar AS mereka cuci melalui alat mixer crypto, Tornado Cash.
Peck Shield mengamati bahwa para peretas mengirim koin USD senilai 250.000 dolar AS ke alamat Ukraine Crypto Donation. Selain itu, 15.154 ETH ditemukan tetap berada di akun peretas.
Kabar tak sedap itu membuat harga stablecoin BEAN pada 17 April 2022 malam runtuh hingga 80%, menjadi 0,20 dolar AS dari 1 dolar AS.
Beanstalk Farms dalam situs webnya menyatakan timnya sedang menyelidiki serangan tersebut dan menyusun langkah selanjutnya. Beanstalk juga meminta komunitas DeFi dan para pakar membantunya menangani kasus tersebut.
“Kami melakukan segala upaya untuk mencoba bergerak maju. Sebagai proyek terdesentralisasi, kami minta komunitas DeFi dan pakar chain analytics membantu kami membatasi kemampuan pengeksploitasi untuk menarik dana melaluai CES. Jika pengeksploitasi terbuka untuk berdiskusi, kami bersedia,” tulis Beanstalk lewat akun Twitter-nya.
Kronologi Serangan Beanstalk Farms
Dilansir CoinDesk, penyerang mengambil flash loan pada platform pinjaman Aave, sehingga mereka dapat mengumpulkan sejumlah besar token Stalk, yang merupakan native governance token di Beanstalk Farms. Dengan kekuatan voting yang diberikan oleh token Stalk ini, penyerang dapat dengan cepat menyampaikan proposal tata kelola yang menguras semua dana protokol ke dalam dompet Ethereum pribadi.
Dalam ringkasan serangan, Project Leads Beanstalk menulis bahwa Beanstalk Farms tidak menggunakan tindakan resisten flash loan untuk memastikan persentase Stalk yang telah memilih untuk mendukung BIP [Beanstalk Improvement Proposal]. Ini adalah kesalahan yang memungkinkan peretas untuk mengeksploitasi Beanstalk.
Sejauh ini, Beanstalk Farms menolak menjelaskan apakah dana yang dicuri akan dikembalikan ke pengguna atau tidak.
Peretas Manfaatkan Metode Flash Loan
Penyerang Beanstalk Farms menggunakan strategi serangan flash loan, salah satu trik dalam serangan protokol decentralized finance (DeFi).
Dalam trik serangan jenis ini, penjahat dunia maya mengeluarkan “pinjaman kilat” dan tanpa jaminan dari protokol pinjaman. Kemudian, memanipulasi harga aset crypto di satu bursa untuk menjualnya dengan cepat di bursa lain.
Menurut Coinmarketcap, serangan semacam itu dapat terjadi hanya dalam hitungan detik, dan melibatkan empat atau lebih protokol DeFi. Serangan flash loan adalah jenis serangan DeFi yang paling umum karena paling murah dilakukan dan paling mudah untuk dihindari.
Serangan flash loan kerap kali terjadi sejak popularitas DeFi menanjak pada tahun 2020 dan kian merajalela pada 2021. Kerugian akibat serangan flash loan mencapai ratusan juta dolar hingga saat ini.
Peretasan flash loan terbesar menimpa protokol DeFi Cream dan Alpha Finance pada Februari 2021. Dana hilang mencapai 37,5 juta dolar AS. Dalam aksinya, penyerang menggunakan 20 DeFi teratas untuk mengesahkan serangkaian pinjaman USD dari IronBank. Mereka mengambil flash loan di Aave Protocol dan menukarnya dengan USD melalui Curve Finance.
Lantas, pada Mei 2021, PancakeBunny mengalami eksploitasi yang menyebabkan tokennya anjlok lebih dari 85% dari nilai sebelumnya. Awalnya, penyerang meminjam sejumlah besar BNB melalui PancakeSwap dan menggunakannya untuk memanipulasi harga USDT/BNB dan BUNNY/BNB di pool PancakeBunny.
Ini memungkinan peretas mencuri BUNNY dalam jumlah besar, lantas dibuang ke pasar, dan mengakibatkan harga jatuh. Peretas kemudian membayar kembali utang tersebut melalui PancakeSwap setelah memperoleh keuntungan 3 juta dolar AS.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.