Jelang penghujung tahun peretasan kembali terjadi. Kali ini adalah perusahaan penyedia pinjaman yang ada di jaringan Arbitrum bernama Lodestar Finance yang mengalami kejadian tersebut. Beberapa sumber menyebutkan bahwa perusahaan mengalami kerugian hingga US$6,9 juta atau sekitar Rp107,94 miliar.
Pembobolan protokol terjadi pada 10 Desember kemarin dan perusahaan langsung melakukan pembaruan informasi di 11 Desember. Dalam utas Twitter, Lodestar Finance menjelaskan bahwa protokol telah mengalami eksploitasi dan simpanan telah terkuras. Skema yang dijalankan oleh oknum jahat tersebut adalah dengan memanfaatkan celah yang ada di flash loan.
Sebenarnya, sejumlah pihak sudah memberikan peringatan bahwa skema flash loan bakal menjadi tren peretasan dalam beberapa tahun ke depan. Setidaknya terdapat 19 peretasan besar yang tercatat menggunakan skema flash loan hanya di tahun ini. Tragedi yang menimpa Lodestar Finance menambah panjang deretan kasus pembobolan yang mengggunakan mekanisme tersebut.
Flash loan sendiri merupakan mekanisme pemberian pinjaman yang diambil dan dilunasi dalam transaksi yang sama. Oleh karena itulah yang membuatnya disebut sebagai pinjaman kilat.
Terungkap bahwa peretas memanipulasi token plvGLP menjadi 1,83 GLP per plvGLP. Tujuannya adalah untuk bisa menjadikannya agunan dan kemudian mendapatkan pinjaman dalam jumlah besar.
“Mereka mencairkan apa yang bisa didapatkan dan meminjam semua likuiditas yang tersedia. Namun mekanisme dalam rasio pemberian jaminan perusahaan mampu mencegah peretas untuk mencairkan token plvGLP seluruhnya,” ungkap manajemen perusahaan.
Saat peretasan terjadi, beberapa pengguna token juga memanfaatkan menggelembungnya nilai tukar dalam kontrak plvGLP dan mencairkan token tersebut. Pihak Lodestar Finance menambahkan, setidaknya peretas membakar lebih dari 3 juta GLP untuk mendapatkan keuntungan.
Perusahaan mengklaim berhasil mendapatkan kembali US$2,8 juta GLP. Jumlah tersebut setara dengan US$2,4 juta. Dalam post mortem perusahaan disebutkan bahwa peretas melakukan 8 flash loan yang nilainya mencapai US$70,5 juta. Dana itulah yang digunakan sebagai deposit untuk melakukan bank run di Lodestar.
Kerentanan Terdapat dalam GLP Oracle
Sama seperti kasus peretasan yang menggunakan celah flash loan, kerentanan oracle dituding menjadi salah satu penyebab terjadinya pembobolan dana. Lodestar Finance menyebutkan kerentanan utamanya terdapat dalam GLP Oracle.
Di situ harga oracle ditentukan oleh beberapa persamaan. Saat total aset meningkat, maka nilai tukar plvGLP juga bertumbuh lebih besar. Celah itulah yang digunakan oleh peretas untuk mendongkrak harga plvGLP dan kemudian mencairkannya.
“Semakin banyak GLP yang disetorkan ke aset, maka nilai tukar GLP/plvGLP juga akan meningkat,” tambah Lodestar.
Sebagai catatan, pasca terjadinya peretasan Lodestar Finance mengaku sudah mengembalikan seluruh suku bunga ke 0. Tujuannya adalah agar saldo penawaran dan juga pinjaman tidak bergerak ketiga perusahaan melakukan beberapa opsi pemulihan.
Salah satu peretasan terbesar yang juga menggunakan skema flash loan terjadi di Mango Market. Platform tersebut mengalami kerugian lebih dari US$100 juta. Pencuri juga melakukan manipulasi harga native token $MNGO.
TVL Lodestar Finance Hanya Tersisa US$11,07
Sehari setelah peretasan, total value locked (TVL) Lodestar Finance ambruk. Dari US$6,73 juta di 10 Desember menjadi hanya US$11,07 di 11 Desember kemarin. Agar bisa mengembalikan dana curian, perusahaan sampai saat ini terus berupaya membangun komunikasi dengan peretas.
Dalam utas Twitter terbarunya disebutkan bahwa Lodestar Finance berupaya mendapatkan kesepakatan dengan peretas dan menganggap kejahatan yang dilakukan sebagai aksi white hat hacking sepanjang dana tersebut dikembalikan.
“Memulihkan dana pengguna adalah prioritas dan kami akan dengan murah hati mengharga kolaborasi yang akan terbangun,” jelasnya.
Bagaimana pendapat Anda tentang topik ini? Yuk, sampaikan pendapat Anda di grup Telegram kami. Jangan lupa follow akun Instagram BeInCrypto Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.