Peretas telah berhasil menjalankan serangan terhadap protokol keuangan terdesentralisasi (DeFi) Conic Finance dan berhasil mencuri 1.700 Ethereum, dengan nilai lebih dari US$3,2 juta saat ini. Informasi ini diambil dari laporan yang dikutip dari Finance.Yahoo.
Dalam sebuah cuitan yang diposting pada hari Jumat (21/07/2023), Conic Finance mengumumkan bahwa mereka sedang menyelidiki akar penyebab dari eksploitasi ini dan konsultasi dengan pihak terkait. Tim di belakang protokol DeFi tersebut menyatakan bahwa serangan tersebut dilakukan dengan metode “re-entrancy attack” dan mereka sedang menerapkan perbaikan pada kontrak yang terkena dampaknya. Selanjutnya, tim tersebut mengklaim bahwa penarikan dana telah diamankan dan akan segera mengeluarkan laporan yang lebih rinci.
Berdasarkan cuitan dari perusahaan keamanan blockchain, Beosin, semua kripto yang dicuri oleh peretas telah dikirimkan ke satu alamat tertentu. Mereka juga memberikan tautan ke transaksi tersebut.
Conic Finance adalah sebuah aplikasi baru yang memungkinkan pengguna untuk mendepositokan token ke dalam “omnipool” mereka dengan tujuan untuk memperoleh imbalan. Ide di balik konsep ini adalah pengguna dapat mendiversifikasi dana mereka melalui bursa terdesentralisasi Curve menggunakan pool likuiditas Conic.
Peretas dalam serangan ini mengincar omnipool Ethereum. Conic Finance kemudian memutuskan untuk menonaktifkan setoran ETH ke Omnipool tersebut. Analisis awal yang dilakukan oleh perusahaan keamanan blockchain Peckshield menunjukkan bahwa akar penyebab masalah ini terletak pada kontrak baru CurveLPOracleV2. Peckshield menulis bahwa pemeriksaan mereka mengidentifikasi masalah re-entrancy hanya terjadi dalam tingkat bacaan yang serupa, tetapi masalah yang sama juga ditemukan pada kontrak CurveLPOracleV2 yang baru saja diperkenalkan dan tidak termasuk dalam pemeriksaan mereka.
Sebagai informasi tambahan, serangan semacam ini sangat umum terjadi dalam ekosistem DeFi, yang merupakan lingkungan kripto yang ingin menggantikan layanan keuangan tradisional seperti pinjaman dan peminjaman melalui teknologi blockchain.
Aplikasi-aplikasi semacam itu masih dalam tahap percobaan dan baru, sehingga seringkali memiliki celah yang bisa dimanfaatkan oleh para peretas. Tahun lalu, disebut sebagai “tahun paling banyak peretas” dalam ruang kripto menurut Chainalysis, sebuah perusahaan data blockchain. Sebagian besar serangan tersebut terjadi dalam ekosistem DeFi. Para pedagang DeFi kehilangan sekitar US$228 juta hanya dalam tiga bulan di kuartal kedua tahun ini, meningkat sebesar 63 persen dibandingkan periode yang sama tahun lalu.
Menurut Immunefi, sebagian besar kerugian kripto terjadi karena dua peristiwa spesifik, yaitu serangan terhadap Atomic Wallet pada 3 Juni dan penipuan oleh platform Fintoch yang sekarang sudah tidak beroperasi pada 23 Mei. Immunefi juga menemukan bahwa beberapa jaringan lebih sering menjadi target daripada yang lainnya. Mereka menemukan bahwa serangan terhadap BNB Chain dan Ethereum menyumbang 77 persen dari total kerugian dalam kuartal terakhir, diikuti oleh Arbitrum sebesar 12 persen. Mereka juga mencatat bahwa serangan terhadap Arbitrum menarik perhatian, mengingat tidak ada insiden serupa yang terjadi pada periode yang sama tahun lalu.
