Sudah menjadi rahasia umum bahwa industri decentralized finance (DeFi) kerap menuai kritik sebagai “wild west” industri kripto. Kemudian, jika segenap aksi peretasan dan pencurian sebesar USS$2,32 miliar yang menimpa berbagai protokol sepanjang tahun ini dapat dianggap sebagai cerminan sebenarnya dari kondisi sektor DeFi saat ini, maka para kritikus tersebut tadilah yang akan tertawa paling kencang.
Beberapa pihak percaya bahwa sebenarnya DeFi sudah ada di industri kripto sejak peluncuran Bitcoin pada tahun 2009 silam. Tapi, perilisan DeFi baru benar-benar muncul pada tahun 2020, yaitu ketika peluncuran strategi investasi Compound Finance yang bernama “yield farming.”
Sekarang, komunitas kripto sudah bisa menggunakan ribuan aplikasi terdesentralisasi (dApp) yang saat ini tersedia. Terkait dengan ini, DeFiLlama melaporkan bahwa sudah ada lebih dari US$53,73 miliar TVL yang tersimpan di sektor DeFi. Angka tersebut cukup besar dan menarik perhatian banyak pihak, termasuk aktor yang tidak diharapkan, yaitu para hacker.
Peretasan yang Menyerang Sistem DeFi
Tidak bisa kita mungkiri, DeFi merupakan bagian integral dari cryptocurrency yang secara luas tetap setia pada etos dasar desentralisasi dan privasi Bitcoin. Terlebih lagi, DeFi mampu mempertahankan independensinya dari pengawasan pemerintah. Tetapi, karena ketiadaan kontrol, maka pada saat yang sama, kebebasan tersebut juga membawa risiko yang besar.
Menurut perusahaan keamanan blockchain PeckShield, peretas telah melakukan lebih dari 135 kasus eksploitasi dan berhasil mencuri lebih dari US$2,32 miliar dari industri DeFi sepanjang tahun ini. Angka tersebut 50% lebih tinggi dari jumlah kerugian dari seluruh sektor di sepanjang tahun 2021.
Selama bertahun-tahun, para pelaku pencurian online telah menggunakan berbagai taktik untuk melancarkan aksi mereka. Menurut REKT Database, metode serangan yang paling sering mereka gunakan yaitu honeypot, exit scam, exploitasi, kontrol akses, dan pinjaman kilat (flash loan).
10 Kasus Peretasan DeFi dengan Kerugian Terbanyak di Tahun 2022
Berikut ini adalah sepuluh kasus peretasan DeFi terbesar di tahun 2022 sejauh ini berdasarkan data yang dikumpulkan PeckShield:
1. Ronin Network: Kerugian – US$620 Juta
Ronin Network, sidechain berbasis Ethereum untuk game P2E Axie Infinity, pada bulan Maret lalu menjadi korban penarikan palsu dan mengalami kerugian lebih dari US$620 juta dalam ETH dan USDC. Penyerang “menggunakan private key yang diretas untuk melakukan penarikan palsu” dari kontrak Ronin bridge dalam dua transaksi berbeda yang mereka lakukan.
Parahnya, eksploitasi yang terjadi pada tanggal 23 Maret tersebut baru terdeteksi seminggu kemudian. Tepatnya ketika salah seorang penggunanya gagal menarik 5.000 ETH.
Secara total, peretas berhasil merampok 173.600 ETH serta 25,5 juta USDC, yang nilainya lebih dari US$620 juta pada saat itu.
Peretasan Ronin Network tergolong sebagai peretasan DeFi terbesar dalam sejarah. Berdasarkan penjelasan PeckShield, kasus ini juga masih tetap menjadi yang terbesar sepanjang tahun ini.
2. Wormhole Bridge: Kerugian – US$320 Juta
Pada 2 Februari, seorang penyerang merampas Wrapped ETH (wETH) senilai lebih dari US$320 juta dari protokol Wormhole, yaitu sebuah crypto bridge cross-chain populer yang menjadi penghubung antara blockchain Solana, Ethereum, Avalanche, dan blockchain lainnya.
Di platform miliknya, pengguna Wormhole memang harus menjalankan stake Ethereum untuk bisa mencetak Wrapped ETH, yakni salah satu jenis aset kripto yang harganya dipatok ke harga Ethereum.
Pada penjelasan terkait kasus ini, perusahaan analitik Elliptic mengatakan bahwa eksploitasi tersebut terjadi karena Wormhole gagal memvalidasi akun “wali/guardian” milik penggunanya. Akibatnya, hal tersebut memungkinkan pelaku kejahatan untuk mencetak 120.000 wETH tanpa perlu dukungan Ethereum. Peretas kemudian menukar 93.750 wETH dengan Ethereum dan sisanya lagi mereka tukar dengan Solana (SOL). Akibat aksi si peretas tersebut, nilai total kerugian yang Wormhole derita mencapai lebih dari US$320 juta pada saat itu.
3. Nomad Bridge: Kerugian – US$190 Juta
Pada 2 Agustus, peretas mencuri aset kripto yang bernilai sekitar US$190 juta dari Nomad, sebuah protokol yang memungkinkan pengguna untuk menukar token dari satu blockchain ke blockchain lainnya.
Peretas memulai serangannya dengan melakukan upgrade pada kode Nomad. Dalam hal ini, mereka membuat salah satu bagian dari smart contract untuk menandai setiap transaksi yang penggunanya lakukan sebagai “valid”. Sehingga, ini memungkinkan si peretas untuk menarik lebih banyak aset daripada jumlah yang tersimpan di platform tersebut. Peretas pun melakukan proses tersebut berulang kali, sampai akhirnya mereka berhasil memindahkan aset kripto senilai US$190 juta dari bridge tersebut. Parahnya lagi, Nomad terlambat menyadari aksi peretasan yang mereka alami. Alhasil, kerugian yang perusahaan derita pun tidak terbendung.
- Baca juga: Wallet yang Terlibat dalam Aksi Eksploitasi Nomad Transfer Dana US$7,5 Juta ke Alamat Tidak Dikenal
4. Beanstalk Farms: Kerugian – US$182 Juta
Ketika bulan April, seorang peretas menguras aset kripto bernilai US$182 juta dari Beanstalk Farms, yaitu protokol DeFi yang bertugas untuk menyeimbangkan jumlah penawaran dan permintaan berbagai aset kripto.
Menurut PeckShield, peretas mengeksploitasi sistem voting mayoritas pada tata kelola (governance) Beanstalk, dan memilih untuk mengirim aset kripto senilai US$182 juta dari platform tersebut kepada sang pelaku. Dalam kasus ini, penyerang memanfaatkan flash loan untuk mendapatkan stake pengendali dalam protokol tersebut. Tetapi, perusahaan tersebut mengaku bahwa keuntungan bersih yang peretas dapatkan hanya sekitar US$80 juta.
5. Wintermute: Kerugian – US$160 Juta
Selanjutnya, protokol DeFi terbaru yang menjadi korban kasus peretasan adalah Wintermute. Dalam kasusnya, kerugian yang mereka derita sebesar US$160 juta. Dana tersebut berasal dari bagian decentralized finance di platform-nya. CEO Wintermute, Evgeny Gaevoy, mengatakan bahwa peretasan itu ada korelasinya dengan bug serius yang muncul pada alat penghasil alamat Ethereum, yaitu Profanity.
Dia juga mengatakan bahwa Wintermute memanfaatkan alat tersebut untuk menghasilkan alamat unik yang tujuannya untuk memotong biaya transaksinya, bukan untuk “pencitraan” semata. Selain itu, mencuat juga dugaan bahwa serangan ini terjadi akibat kesalahan dari operator di jaringannya (human error).
6. Elrond: Kerugian – US$113 Juta
Pada bulan Juni, peretas mengeksploitasi kerentanan yang ada pada platform decentralized exchange (DEX) Maiar dan berhasil mencuri sekitar 1,65 juta EGLD. Adapun EGLD merupakan token native blockchain Elrond sendiri. Para peneliti kasus ini mengatakan bahwa penyerang memanfaatkan smart contract dan menggunakan tiga wallet untuk mencuri EGLD dengan nilai sekitar US$113 juta dari bursa tersebut.
Setelah berhasil melancarkan aksinya tersebut, peretas segera menjual 800.000 token EGLD hasil curian dengan harga US$54 juta pada DEX yang sama. Kemudian, sisanya mereka jual di centralized exchange (CEX) dan ada juga yang mereka tukarkan (swap) dengan Ethereum.
7. Horizon Bridge: Kerugian – US$100 Juta
Hanya beberapa hari setelah eksploitasi Elrond terjadi, peretasan lainnya muncul lagi pada 23 Juni dan kali ini korbannya adalah Horizon bridge. Pada kasus ini, mereka menderita kerugian hampir US$100 juta. Horizon sendiri adalah platform interoperabilitas cross-chain antara jaringan blockchain Ethereum, BNB Chain, dan Harmony.
Dalam penjelasannya terkait kasus ini, PeckShield mengungkapkan bahwa peretas mengeluarkan beberapa jenis token dari platform yang Harmony kelola, dengan jumlah keseluruhan bernilai lebih dari US$98 juta. Kemudian, token tersebut mereka tukarkan ke ETH. Setelah itu, para peretas pun memindahkan US$35 juta melalui Tornado Cash. Saat itu, ada lebih dari 50.000 wallet pengguna yang turut terkena dampaknya.
8. Qubit Finance: Kerugian – US$80 Juta
Protokol DeFi ini mengatakan pada 28 Januari bahwa perusahaannya telah mengalami eksploitasi oleh penyerang yang mencuri 206.809 BNB dari protokol QBridge miliknya. Secara total, token tersebut bernilai US$80 juta.
Menurut perusahaan keamanan Certik, penyerang memanfaatkan opsi deposit dalam kontrak QBridge untuk mencetak 77.162 qXETH. Sebagai informasi, qXETH sendiri merupakan sebuah aset kripto yang digunakan untuk merepresentasikan Ethereum yang dijembatani melalui Qubit. Si pelaku pun sukses mengelabui platform tersebut dan membuatnya percaya dengan menunjukkan seolah-olah mereka benar-benar melakukan deposit. Setelah mengulangi prosesnya beberapa kali, mereka kemudian menukarkan aset tersebut ke BNB, lalu menghilang tanpa jejak.
9. Cashio: Kerugian – US$48 Juta
Cashio, sebuah protokol stablecoin di Solana, mengalami apa yang timnya sebut sebagai eksploitasi “kesalahan pencetakan tanpa batas” pada bulan Maret. Kala itu, peretas berhasil menguras aset bernilai US$48 juta dari protokol tersebut. Tak ayal, kasus itu pun memicu runtuhnya stablecoin CASH milik Cashio.
Cashio sendiri memungkinkan penggunanya untuk mencetak stablecoin CASH dengan semua setoran yang didukung oleh token liquidity provider yang menghasilkan bunga. Saat melancarkan aksinya tersebut, penyerang mencetak miliaran CASH dan kemudian menukarnya dengan aset USDC dan UST. Tapi, CASH dengan sendirinya anjlok sebelum mereka sempat menariknya melalui platform DEX Sabre.
CASH yang nilainya dipatok ke dolar ini akhirnya longsor total ke angka US$0 sesaat setelah peretasan terjadi. Penyerang pun mengembalikan uang curian itu ke akun yang memiliki kurang dari US$100.000 dan berjanji untuk mendonasikan sisanya untuk amal.
Itulah informasi yang terakhir kali kita dengar tentang hasil jarahan Cashio itu. Sejak saat itu, CASH pun sudah benar-benar tidak ada kabarnya lagi.
10. Scream: Kerugian – US$38 Juta
Percaya ataupun tidak, sepertinya Scream telah mengalami salah satu serangan eksploitasi paling ceroboh di sektor DeFi sepanjang tahun ini. Hal itu didasarkan pada perspektif keamanan protokol sendiri. Pasalnya, Scream telah memutuskan untuk berhutang sebesar US$38 juta ke stablecoin yang telah kehilangan pasaknya. Stablecoin yang dimaksud adalah Fantom USD (fUSD) dan DEI.
Oleh karena protokol ini telah melakukan hard coding pada nilai kedua stablecoin tersebut, alhasil turunnya nilai aset tersebut tidak terlihat sama sekali di platform Scream. Akibatnya, para whale memanfaatkan celah ini untuk menguras protokol stablecoin berharga lainnya di Scream, sembari mendepositkan fUSD dan DEI yang kehilangan pasak tersebut.
Akhirnya, stablecoin FRAX, USDT, USDC, dan MIM dengan total nilai US$38 juta berhasil raib dari jaringannya. Sejak insiden itu, Scream kemudian menjatuhkan hardcore pricing dari platform-nya dan beralih ke oracle Chainlink untuk menyediakan data harga real-time. Meski demikian, para whale pun tetap bisa menyimpan hasil rampokan mereka itu. Tidak heran, kejadian itu pun menjadi hari yang menguntungkan bagi para degen.
Bagaimana Nasib Miliaran Dana yang Tercuri dari Peretasan DeFi?
Sayangnya, seluruh dana yang sudah raib dalam aksi peretasan DeFi semuanya telah hilang. Bahkan, sebagian besar sudah tidak mungkin terselamatkan sama sekali.
PeckShield mengatakan bahwa ada sekitar 50%, atau US$1,16 miliar, dari uang curian tersebut telah dicuci melalui crypto mixer berbasis Ethereum, yaitu Tornado Cash.
Dengan menggunakan Tornado Cash riwayat transaksi kripto pun bisa dikaburkan dan membuat pelacakannya menjadi lebih sulit.
Menurut badan keamanan Amerika Serikat (AS), FBI, pihak-pihak seperti kelompok peretas yang memiliki kaitan dengan Korea Utara, yaitu Lazarus, telah memanfaatkan crypto mixer tersebut untuk mencuci aset kripto yang bernilai lebih dari US$7 miliar sejak tahun 2019 silam.
Melihat kemampuan yang mampu diberikan oleh Tornado Cash dan potensinya untuk dimanfaatkan oleh para pelaku kejahatan, tak heran jika akhirnya pemerintah AS pun menjatuhkan sanksi kepadanya.
Sementara peretas menghilang dengan membawa miliaran dolar hasil curiannya, protokol DeFi yang terkena dampaknya masih berusaha melakukan serangkaian upaya untuk mendapatkan kembali uang mereka. Namun, hanya sedikit yang berhasil mendapatkan dananya kembali. Salah satu cara yang biasa mereka pakai, yakni dengan cara memohon kepada para pelaku atau komplotan peretas untuk mengembalikan hasil curian itu dengan imbalan semacam insentif sebagai gantinya.
Contohnya seperti yang dilakukan oleh Qubit Finance. Mereka menawarkan bounty sebanyak US$2 juta kepada white hacker. Tapi, sayangnya cara itu tidak berhasil. Sama seperti Qubit, Harmony juga sempat mencoba upaya yang sama. Mereka menawarkan bounty sebesar US$1 juta untuk memulihkan US$100 juta yang tercuri dari Horizon bridge. Di samping itu, mereka juga berjanji untuk tidak mengajukan tuntutan pidana dalam bentuk apapun. Tapi, lagi-lagi, sayangnya para peretas mengabaikan permintaan itu. Hasilnya sama, tidak ada dana yang berhasil mereka pulihkan.
Dana Hasil Peretasan DeFi Ada yang Bisa Pulih dalam Beberapa Kasus
Namun, dalam beberapa kasus peretasan DeFi, ada pelaku yang mau menuruti permintaan protokol untuk mengembalikan dana. Seperti halnya yang dialami oleh Poly Network. Saat bulan Agustus 2021 lalu, penyerang jaringan Poly Network mengembalikan sebagian besar dari total US$600 juta yang telah mereka curi.
Selain itu, keberuntungan juga berpihak pada Ronin Network. Awal bulan ini, dengan bantuan dari perusahaan keamanan kripto Chainalysis, Departemen Keuangan AS beserta FBI, jaringan tersebut berhasil memulihkan US$30 juta dari keseluruhan dananya yang hilang. Kendati demikian, jumlah itu hanya sebesar 5% dari total US$620 juta yang telah digondol oleh peretas. Sementara itu, FBI juga memberikan estimasi bahwa terdapat sekitar US$455 juta yang dicuci melalui Tornado Cash oleh tersangka penyerangan tersebut, yakni Lazarus Group.
Peretas dari Nomad Bridge juga mengirim kembali US$9 juta ke platform tersebut sehari setelah melancarkan aksi eksploitasi pada cross-chain bridge tersebut sebanyak US$190,4 juta. Setelah menjanjikan bounty sebesar 10% untuk setiap dana yang mereka kembalikan, white hat hacker meretas kembali US$32 juta dari total jarahan dan mengembalikannya ke Nomad Bridge. Sisanya, sebagian besar disebar di antara alamat yang berbeda ketika mereka berusaha mati-matian untuk menjaga dana hasil curian mereka. Benar saja, mereka pada akhirnya berhasil mempertahankan dana tersebut.
Di sisi lain, Wormhole tidak pernah berhasil memulihkan dana US$320 jutanya. Tapi, dana itu harus diselamatkan. Setelah kerentanannya berhasil teratasi, Jump Trading Group, yang memiliki saham dalam protokol tersebut, ikut turun tangan dan menggantikan sebesar 120.000 ETH milik Wormhole yang hilang dicuri.
Bagaimana Cara Terhindar dari Aksi Peretasan di Dunia DeFi?
Faktanya, cukup jelas bahwa blockchain bridge memang telah menjadi titik terlemah yang seringkali menjadi target utama aksi kejahatan di sektor DeFi. Tapi, pastinya selalu ada cara bagi setiap individu maupun protokol untuk tetap menjaga keamanan dana mereka.
Mengenai hal ini, Alex Belets, pendiri perusahaan keamanan blockchain Smart State, mengatakan kepada BeInCrypto bahwa mereka “Perlu menyusun kerangka acuan yang jelas ketika mengembangkan [sebuah] proyek, [serta] melindungi fungsionalitas proyek dengan uji coba sebanyak mungkin demi menghindari kesalahan logis.”
“Gunakanlah pemindai kerentanan otomatis, jangan coba-coba mengimplementasikan apapun [sembarangan] karena sudah ada perpustakaannya. Lakukanlah audit dan simpan kunci pribadi Anda dengan aman. Jangan gunakan aplikasi pihak ketiga seperti Profanity untuk menghasilkan kunci pribadi ([yang menjadi] penyebab peretasan Wintermute),” tambahnya.
Bagaimana pendapat Anda tentang berbagai kasus peretasan yang menimpa industri DeFi selama tahun ini? Sampaikan pendapat Anda kepada kami. Jangan lupa follow akun Instagram BeInCrypto Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.