Nirvana Finance, sebuah protokol yield keuangan terdesentralisasi (DeFi) di Solana, telah mengalami eksploitasi flash loan atau pinjaman kilat hingga mencapai sekitar US$3,5 juta (Rp52,1 miliar).
Adapun native token Nirvana (ANA) dan stablecoin NIRV mengalami penurunan harga besar-besaran karena serangan tersebut. Token ANA tergelincir di atas 80%, sementara NIRV telah kehilangan lebih dari 80% dari nilainya yang harusnya 1:1 dengan US$1.
Kabar ini pertama diungkapkan di Twitter oleh seseorang di komunitas kripto sekitar pada hari Kamis (28/7) pukul 13:49 WIB. Kemudian, hal ini turut dikonfirmasi oleh PeckShield.
Cara Nirvana Finance Dieksploitasi
Data on-chain menunjukkan bahwa penyerang menggunakan flash loan senilai 10 juta USD Coin (USDC), yang kemudian digunakan untuk mencetak ANA sekitar US$10 juta.
Pinjaman kilat ini memungkinkan seseorang untuk meminjam modal dalam jumlah besar dengan biaya rendah, selama pinjaman dilunasi pada block yang sama. Adapun flash loan ini dijamin dengan protokol Solend.
Penyerang kemudian memanipulasi umpan oracle protokol sehingga menaikkan harga koin ANA, yang kemudian membuat kepemilikan mereka melebihi US$10 juta. Penyerang lantas menukar apa yang sebenarnya adalah US$10 juta dalam token ANA menjadi US$13,49 juta dalam USDT.
Tindakan inilah yang mengurangi US$3,49 juta dari perbendaharaan Nirvana Finance, karena pihak yang melakukan eksploitasi ini telah melunasi pinjamannya senilai US$10 juta.
Adapun eksploitasi yang menghasilkan US$3,49 juta itu telah dilarikan ke alamat Ethereum wallet melalui Wormhole dan mengubahnya menjadi stablecoin DAI.
- Baca Juga: Harmony Protocol Ajukan Opsi Cetak Miliaran Token ONE demi Bayar Kompensasi Korban Peretasan
Hati-hati, Token ANA & NIRV Tidak Punya Nilai Jaminan
Sekitar pukul 17:07 WIB pada hari Kamis, Solend merilis pernyataan bahwa mereka mengetahui insiden ini dan telah menghubungi tim Nirvana sambil menambahkan bahwa protokolnya tidak terpengaruh oleh eksploitasi tersebut.
Akun Twitter Nirvana Finance akhirnya pada pukul 19:17 WIB mengungkapkan secara resmi bahwa mereka mengalami eksploitasi. Nirvana mengaku sedang menyelidiki serangan tersebut dan akan membuat pengumuman kepada publik sesegera mungkin.
Dalam cuitan berikutnya, Nirvana menulis, “Apa yang kita ketahui sejauh ini, Nirvana telah diretas dengan jahat dan cadangannya telah dicuri. Serangan flash loan digunakan untuk mencuri uang. Ini bukan kesalahan Solend, tetapi eksploitasi program Nirvana.”
Nirvana kemudian menambahkan, “ANA telah kehilangan jaminannya, dan NIRV telah kehilangan patokannya terhadap dolar AS. Sampai pencuri mengembalikan dana, token ini tidak akan memiliki nilai tukar. Berhati-hatilah dengan perdagangan NIRV dan ANA, karena saat ini mereka tidak memiliki nilai jaminan.”
Flash Loan yang Hantui Protokol DeFi
Beanstalk, sebuah proyek stablecoin Ethereum, diketahui menjadi korban eksploitasi dari flash loan terbesar dalam dunia kripto ketika kehilangan US$182 juta pada April lalu.
Sebagai catatan, flash loan adalah cara populer bagi para penyerang untuk mendapatkan dana dengan melakukan eksploitasi pada DeFi. Ini memungkinkan pihak tertentu meminjam dana tanpa jaminan dari pemberi pinjaman menggunakan smart contract.
Pihak penyerang tidak memerlukan jaminan apa pun karena smart contract menganggap transaksi selesai hanya ketika peminjam membayar kembali pinjamannya. Ini berarti, peminjam yang gagal membayar flash loan akan menyebabkan smart contract membatalkan transaksi dan uang akan dikembalikan ke pemberi pinjaman.
Penyerang yang Manfaatkan Flash Loan Solend
Sebelumnya, pada awal bulan Juli ini, Crema Finance, protokol likuiditas terkonsentrasi yang berbasis di Solana, mengumumkan bahwa mereka menangguhkan sementara layanannya untuk menyelidiki eksploitasi yang mencuri lebih dari US$6 juta (Rp89,6 miliar) dalam protokol tersebut.
Menurut OtterSec, penyerang menggunakan flash loan Solend untuk menguras protocol pools Crema Finance. Penyerang pertama kali menggunakan program on-chain mereka, sehingga dapat menggunakan pinjaman kilat.
Mirisnya, serangan ini terjadi hanya beberapa minggu setelah Crema Finance mengumpulkan suntikan dana segar senilai US$5,4 juta (Rp80,6 miliar) pada 17 Juni 2022.
Perlu diingat, Crema Finance tidak terhubung dengan Cream Finance, protokol keuangan terdesentralisasi (DeFi) yang kehilangan lebih dari US$100 juta (Rp1,49 triliun) akibat flash loan attacks pada Oktober 2021.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.