Nereus Finance terkena dampak dari serangan arbitrase pinjaman kilat (flash loan arbitrage) pada hari Selasa (6/9). Menurut laporan CertiK pada hari Rabu (7/9), pelaku eksploitasi berhasil menguras sekitar US$370.000 (Rp5,51 miliar) dalam stablecoin USD Coin (USDC) dari platform DeFi di Avalanche ini.
Data on-chain dari SnowTrace menunjukkan bahwa penyerang meluncurkan exploit dengan flash loan senilai US$51 juta (Rp760,58 miliar). Dana tersebut digunakan untuk melakukan serangan flash loan yang memanipulasi harga token di Nereus.
Penyerang lantas membayar kembali pinjaman US$51 juta, tetapi masih memiliki US$370.000 dalam USDC setelah perdagangan arbitrase selesai.
Lantas, penyerang menjembatani dana yang diraup dari blockchain Avalanche ke jaringan Ethereum. Dana tersebut kemudian ditukar menjadi 194 Ether (ETH) atau sekitar US$310.000 serta 15.800 DAI yang setara US$15.800.
Dana tersebut saat ini terparkir di alamat crypto wallet ini, yang juga cocok dengan alamat crypto wallet penyerang di Nereus Finance. Berdasarkan pantauan saat ini, hanya sekitar 12 ETH dan 15.800 DAI yang tersisa di alamat crypto wallet tersebut.
Penyerang setidaknya mentransfer sekitar 180 ETH, masing-masing 45 ETH ke 4 alamat crypto wallet yang berbeda. Dana ini semuanya telah dipindahkan ke Free Float, crypto exchange di Lightning Network, yang menandakan ada upaya arbitrase untuk menguangkan keuntungan.
- Baca Juga: Perusahaan di Balik Proyek Avalanche Dituduh Gunakan Layanan Litigasi untuk Rugikan Pesaing
Nereus Finance: Insiden Ini Tidak Akan Terulang
Akun Twitter Nereus Finance pada hari Rabu (7/9) menyatakan bahwa mereka menyadari ada eksploitasi flash loan di market AVAX/USDC Trader Joe LP NXUSD.
“Insiden ini terisolasi di collateral market tunggal, dan protokol NXUSD secara keseluruhan tetap di atas jaminan. Kami sedang menjalankan proses pemulihan dan akan segera membagikan post-mortem,” jelas pihak Nereus Finance.
Dalam post-mortem terkait insiden ini, Nereus Finance pada hari Kamis (8/9) mengaku dengan cepat berkonsultasi bersama pakar keamanan, mengembangkan rencana mitigasi, dan memberi tahu penegak hukum untuk mendukung mereka. Mereka juga telah mengurangi eksploitasi lebih lanjut dengan melikuidasi dan menghentikan market JLP yang dieksploitasi.
Terkait kemungkinan penyebab terjadinya insiden tersebut, Nereus Finance menjelaskan bahwa mereka baru-baru ini meluncurkan salah satu jenis jaminan terbaru, yang mendukung token AVAX/USDC Trader Joe LP. Namun, ada langkah yang terlewat dalam perhitungan harga sehingga celah tersebut dimanfaatkan oleh penyerang.
Kemudian, ketika ditanya apakah kejadian ini akan terulang, Nereus Finance dengan yakin mengatakan tidak. Saat ini, tim Nereus Finance terus bekerja untuk mengidentifikasi pihak penyerang dan menawarkan 20% hadiah bagi pengembalian dana yang dicuri tersebut.
- Baca Juga: Protokol DeFi Solana Nirvana Finance Alami Eksploitasi US$3,5 juta, Nilai Token ANA & NIRV ‘Hancur’
Protokol DeFi yang Rentan
Eksploitasi flash loan terus menjadi masalah utama bagi sejumlah protokol DeFi. Biro Investigasi Federal Amerika Serikat (AS) atau FBI, pada 29 Agustus lalu mengatakan bahwa eksploitasi flash loan hingga manipulasi harga adalah di antara beberapa faktor risiko bagi pengguna DeFi.
Menurut Chainalysis, antara Januari dan Maret 2022, penjahat cyber mencuri US$1,3 miliar dalam kripto, dengan hampir 97% di antara dicuri dari platform DeFi. Ini merupakan peningkatan 72% dari tahun 2021 dan 30% dari tahun 2020.
FBI merekomendasikan agar para platform DeFi untuk mengambil sejumlah tindakan pencegahan. Pertama, lakukan analisis, pemantauan, dan pengujian kode yang ketat untuk mengidentifikasi kerentanan dengan lebih cepat dan merespon indikator aktivitas yang mencurigakan.
Kedua, kembangkan dan terapkan rencana respon insiden yang mencakup peringatan bagi investor ketika terjadi eksploitasi smart contract, muncul kerentanan, atau aktivitas yang mencurigakan lainnya terdeteksi.
Bagaimana pendapat Anda tentang topik eksploitasi flash loan di protokol DeFi milik Avalanche ini? Sampaikan pendapat Anda kepada kami. Jangan lupa follow akun Instagram Be[In]Crypto Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!
Trusted
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
