Serangan DeFi sedang meningkat — Akankah industri dapat membendung arus?

Industri keuangan terdesentralisasi (DeFi) telah kehilangan lebih dari satu miliar dolar karena peretas dalam beberapa bulan terakhir, dan situasinya tampaknya tidak terkendali.

Menurut statistik terbaru, sekitar $1,6 miliar masukcryptocurrency dicuri dari platform DeFi pada kuartal pertama tahun 2022. Selain itu, lebih dari 90% crypto yang dicuri berasal dari protokol DeFi yang diretas.

Angka-angka ini menyoroti situasi mengerikan yang kemungkinan akan bertahan dalam jangka panjang jika diabaikan.

Mengapa peretas lebih memilih platform DeFi

Dalam beberapa tahun terakhir, peretas telah meningkatkan operasi yang menargetkan sistem DeFi. Salah satu alasan utama mengapa kelompok-kelompok ini tertarik pada sektor ini adalah banyaknya dana yang dimiliki oleh platform keuangan terdesentralisasi. Platform DeFi teratas memproses miliaran dolar dalam transaksi setiap bulan. Dengan demikian, hadiahnya tinggi untuk peretas yang mampu melakukan serangan yang berhasil.

Fakta bahwa sebagian besar kode protokol DeFi adalah open source juga membuatnya semakin rentan terhadap ancaman keamanan siber.

Ini karena program open source tersedia untuk pengawasan publik dan dapat diaudit oleh siapa saja yang memiliki koneksi internet. Dengan demikian, mereka mudah dijelajahi untuk dieksploitasi. Properti bawaan ini memungkinkan peretas menganalisis aplikasi DeFi untuk masalah integritas dan merencanakan perampokan sebelumnya.

Beberapa pengembang DeFi juga berkontribusi pada situasi tersebut dengan sengaja mengabaikan laporan audit keamanan platform yang diterbitkan oleh perusahaan keamanan siber bersertifikat. Beberapa tim pengembangan juga meluncurkan proyek DeFi tanpa melakukan analisis keamanan ekstensif. Ini meningkatkan kemungkinan cacat pengkodean.

Kelemahan lain dalam hal keamanan DeFi adalah interkonektivitas ekosistem. Platform DeFi biasanya saling terhubung menggunakan jembatan silang, yang mendukung kenyamanan dan keserbagunaan.

Meskipun cross-bridge memberikan pengalaman pengguna yang lebih baik, potongan kode penting ini menghubungkan jaringan besar buku besar terdistribusi dengan berbagai tingkat keamanan. Konfigurasi multipleks ini memungkinkan peretas DeFi memanfaatkan kemampuan berbagai platform untuk memperkuat serangan pada platform tertentu. Ini juga memungkinkan mereka untuk dengan cepat mentransfer dana haram melalui beberapa jaringan terdesentralisasi dengan mulus.

Selain risiko yang disebutkan di atas, platform DeFi juga rentan terhadap sabotase orang dalam.

Pelanggaran keamanan

Peretas menggunakan berbagai teknik untuk menyusup ke sistem perimeter DeFi yang rentan. 

Pelanggaran keamanan adalah kejadian umum di sektor DeFi.Menurut ke Chainalysis 2022 laporan, sekitar 35% dari semua crypto yang dicuri dalam dua tahun terakhir dikaitkan dengan pelanggaran keamanan.

Banyak dari mereka terjadi karena kode yang salah. Peretas biasanya mendedikasikan sumber daya yang signifikan untuk menemukan kesalahan pengkodean sistemik yang memungkinkan mereka melakukan jenis serangan ini dan biasanya menggunakan alat pelacak bug canggih untuk membantu mereka dalam hal ini.

Taktik umum lainnya yang digunakan oleh pelaku ancaman untuk mencari platform yang rentan adalah melacak jaringan dengan masalah keamanan yang belum ditambal yang telah terungkap tetapi belum diimplementasikan.

Peretas di balik serangan peretasan Wormhole DeFi baru-baru ini yang menyebabkankerugian sekitar $325 juta dalam token digital dilaporkan telah menggunakan strategi ini. Analisis komit kode mengungkapkan bahwa tambalan kerentanan yang diunggah ke repositori GitHub platform telah dieksploitasi sebelum tambalan dipasang.

Kesalahan tersebut memungkinkan penyusup memalsukan tanda tangan sistem yang memungkinkan pencetakan 120.000 koin Wrapped Ether (wETH) senilai $325 juta. Para peretas kemudian menjual weTH seharga sekitar $250 juta dalam bentuk Ether (ETH ). Koin Ethereum yang dipertukarkan berasal dari cadangan penyelesaian platform, sehingga menyebabkan kerugian.

Layanan Wormhole bertindak sebagai jembatan antar rantai. Ini memungkinkan pengguna untuk membelanjakan cryptocurrency yang disimpan dalam token yang dibungkus di seluruh rantai. Ini dilakukan dengan mencetak token yang dibungkus Wormhole, yang mengurangi kebutuhan untuk menukar atau mengonversi koin yang disimpan secara langsung.

Terbaru: Bagaimana arsip blockchain dapat mengubah cara kita merekam sejarah di masa perang

Serangan pinjaman kilat

Pinjaman flash adalah pinjaman DeFi tanpa jaminan yang tidak memerlukan pemeriksaan kredit. Mereka memungkinkan investor dan pedagang untuk meminjam dana secara instan.

Karena kemudahannya, flash loan biasanya digunakan untuk memanfaatkan peluang arbitrase dalam ekosistem DeFi yang terhubung.

Dalam serangan flash loan, protokol peminjaman ditargetkan dan dikompromikan menggunakan teknik manipulasi harga yang menciptakan perbedaan harga artifisial. Hal ini memungkinkan aktor jahat untuk membeli aset dengan harga diskon yang sangat besar. Sebagian besar serangan flash loan membutuhkan waktu beberapa menit dan terkadang detik untuk dieksekusi dan melibatkan beberapa protokol DeFi yang saling terkait.

Salah satu cara penyerang memanipulasi harga aset adalah dengan menargetkan oracle harga yang dapat diserang. Peramal harga DeFi, misalnya, mengambil tarif mereka dari sumber eksternal seperti bursa dan situs perdagangan terkemuka. Peretas dapat, misalnya, memanipulasi situs sumber untuk mengelabui oracle agar menurunkan nilai aset yang ditargetkan untuk sementara sehingga mereka berdagang dengan harga lebih rendah dibandingkan dengan pasar yang lebih luas.

Penyerang kemudian membeli aset dengan kurs kempis dan dengan cepat menjualnya dengan kurs mengambang. Menggunakan token leverage yang diperoleh melalui flash loan memungkinkan mereka untuk memperbesar keuntungan.

Selain memanipulasi harga, beberapa penyerang mampu melakukan serangan flash loan dengan membajak proses voting DeFi. Baru-baru saja,Beanstalk DeFi mengalami kerugian $182 juta setelah penyerang memanfaatkan kekurangan dalam sistem tata kelolanya.

Tim pengembangan Pohon Kacang telah memasukkan mekanisme tata kelola yang memungkinkan peserta memilih perubahan platform sebagai fungsi inti. Pengaturan ini populer di industri DeFi karena menjunjung tinggi demokrasi. Hak suara pada platform diatur agar sebanding dengan nilai token asli yang dimiliki.

Analisis pelanggaran mengungkapkan bahwa penyerang memperoleh pinjaman kilat dari protokol Aave DeFi untuk mendapatkan aset hampir $1 miliar. Ini memungkinkan mereka untuk mendapatkan mayoritas 67% dalam sistem tata kelola pemungutan suara dan memungkinkan mereka untuk secara sepihak menyetujui transfer aset ke alamat mereka. Para pelaku berhasil kabur dengan sekitar $80 juta dalam mata uang digital setelah melunasi flash loan dan biaya tambahan terkait.

Koin kripto senilai sekitar $360 juta dicuri dari platform DeFi pada tahun 2021 menggunakan pinjaman kilat, menurut Chainalysis.

Ke mana perginya crypto yang dicuri?

Untuk waktu yang lama, peretas telah menggunakan pertukaran terpusat untuk mencuci dana yang dicuri, tetapi penjahat dunia maya mulai meninggalkannya untuk platform DeFi. Pada tahun 2021, penjahat dunia mayaterkirim sekitar 17% dari semua crypto ilegal ke jaringan DeFi, yang merupakan lompatan signifikan dari 2% pada tahun 2020.

Pakar pasar berteori bahwa peralihan ke protokol DeFi adalah karena implementasi yang lebih luas dari proses Know Your Customer (KYC) dan Anti-Money Laundering (AML) yang lebih ketat. Prosedur tersebut membahayakan anonimitas yang dicari oleh penjahat dunia maya. Sebagian besar platform DeFi mengabaikan proses penting ini.

Kerjasama dengan pihak berwenang

Pertukaran terpusat juga, sekarang lebih dari sebelumnya, bekerja sama dengan pihak berwenang untuk melawan kejahatan dunia maya. Pada bulan April, pertukaran Binance memainkan peran penting dalampemulihan $5,8 juta dalam cryptocurrency curian itu adalah bagian dari simpanan senilai $625 juta yang dicuri dari Axie Infinity. Uang itu awalnya dikirim ke Tornado Cash.

Tornado Cash adalah layanan anonimisasi token yang mengaburkan asal dana dengan memecah-mecah tautan on-chain yang digunakan untuk melacak alamat transaksi.

Namun, sebagian dari dana yang dicuri dilacak oleh perusahaan analitik blockchain ke Binance. Penjarahan diadakan di 86 alamat di bursa.

Sebagai buntut dari insiden tersebut, juru bicara Departemen Keuangan Amerika Serikat menggarisbawahi bahwa pertukaran crypto yang menangani uang dari sanksi risiko alamat crypto yang masuk daftar hitam.

Tornado Cash juga tampaknya bekerja sama dengan pihak berwenang untuk menghentikan transfer dana curian ke jaringannya. Perusahaan mengatakan akan menerapkan alat pemantauan untuk membantu mengidentifikasi dan memblokir dompet yang diembargo.

Tampaknya ada beberapa kemajuan dalampenyitaan aset yang dicuri oleh pihak berwajib . Awal tahun ini, Departemen Kehakiman AS mengumumkan penyitaan crypto senilai $3,6 miliar dan menangkap dua orang yang terlibat dalam pencucian dana tersebut. Uang itu adalah bagian dari $4,5 miliar yang dicuri dari pertukaran crypto Bitfinex pada tahun 2016.

Penyitaan crypto adalah salah satu yang terbesar yang pernah tercatat.

CEO DeFi berbicara tentang situasi saat ini

Berbicara secara eksklusif kepada Cointelegraph awal pekan ini, Eric Chen, CEO dan salah satu pendiri Injective Labs — platform kontrak pintar yang dapat dioperasikan yang dioptimalkan untuk aplikasi keuangan terdesentralisasi — mengatakan bahwa ada harapan bahwa masalah akan mereda.

“Kami melihat air pasang terus mereda, karena standar keamanan yang lebih kuat diberlakukan. Dengan pengujian yang tepat dan infrastruktur keamanan lebih lanjut yang diterapkan, proyek DeFi akan dapat mencegah risiko eksploitasi umum di masa mendatang,” katanya.

Tentang langkah-langkah yang diambil jaringannya untuk mencegah serangan peretasan, Chen memberikan garis besar:

“Injective memastikan model keamanan aplikasi-sentris yang lebih ketat dibandingkan dengan aplikasi DeFi berbasis Mesin Virtual Ethereum tradisional. Desain blockchain dan logika modul inti melindungi Injective dari eksploitasi umum seperti masuk kembali, nilai maksimum yang dapat diekstraksi, dan pinjaman flash. Aplikasi yang dibangun di atas Injective dapat memperoleh manfaat dari langkah-langkah keamanan yang diterapkan di blockchain pada tingkat konsensus.”

Terbaru: Meningkatnya adopsi global memposisikan crypto dengan sempurna untuk digunakan dalam ritel

Cointelegraph juga memiliki kesempatan untuk berbicara dengan Konstantin Boyko-Romanovsky, CEO dan pendiri Allnodes — platform hosting dan taruhan non-penahanan — tentang peningkatan insiden peretasan. Mengenai katalis utama di balik tren tersebut, dia berkata:

“Tidak diragukan lagi akan membutuhkan waktu untuk menurunkan risiko peretasan DeFi. Namun, kecil kemungkinannya hal itu akan terjadi dalam semalam. Ada rasa balapan yang melekat di DeFi. Semua orang sepertinya sedang terburu-buru, termasuk para pendiri proyek. Pasar berkembang lebih cepat daripada kecepatan programmer menulis kode. Pemain bagus yang mengambil setiap tindakan pencegahan adalah minoritas.”

Dia juga memberikan beberapa wawasan tentang prosedur yang akan membantu mengatasi masalah tersebut:

“Kode harus lebih baik dan kontrak pintar harus diaudit secara menyeluruh, itu sudah pasti. Selain itu, pengguna harus selalu diingatkan tentang etika online yang berhati-hati. Mengidentifikasi kekurangan apa pun dapat menjadi insentif yang menarik. Ini, pada gilirannya, dapat mempromosikan perilaku yang lebih sehat di seluruh protokol tertentu.”

Industri DeFi mengalami kesulitan menggagalkan serangan peretasan. Namun demikian, ada harapan bahwa peningkatan pengawasan dari pihak berwenang dan kerja sama yang lebih besar di antara bursa akan membantu mengurangi momok tersebut.