Skip to content Skip to sidebar Skip to footer
Home / Techno

Bagaimana protokol DeFi diretas?

By Shiela Cecillia

Sektor keuangan yang terdesentralisasi tumbuh dengan kecepatan yang sangat tinggi. Tiga tahun lalu, nilai total yang dikunci ke DeFi hanya $800 juta. Pada Februari 2021, angka tersebut telah tumbuh menjadi $40 miliar; pada April 2021, mencapai tonggak sejarah $80 miliar; dan sekarang adalah berdiri lebih dari $140 miliar. Pertumbuhan pesat seperti itu di pasar baru tidak bisa tidak menarik perhatian semua jenis peretas dan penipu.

Menurut laporan dari perusahaan riset crypto, pada 2019, Sektor DeFi Kehilangan Sekitar $284,9 Juta untuk peretasan dan serangan eksploitasi lainnya. Peretasan ekosistem blockchain adalah pengayaan yang ideal bagi peretas. Karena sistem semacam itu anonim, mereka kehilangan uang, dan peretasan apa pun dapat diuji dan diubah tanpa sepengetahuan korban. Dalam empat bulan pertama tahun 2021, kerugian mencapai $240 juta. Dan ini hanya kasus yang umum diketahui. Kami memperkirakan kerugian aktual dalam miliaran dolar.

Bagaimana uang dicuri dari protokol DeFi? Kami telah menganalisis beberapa lusin serangan peretas dan mengidentifikasi masalah paling umum yang mengarah pada serangan peretas.

Penyalahgunaan protokol pihak ketiga dan kesalahan logika bisnis

Setiap serangan dimulai dengan analisis korban. Teknologi Blockchain menawarkan banyak kemungkinan untuk secara otomatis menyetel dan mensimulasikan skenario peretasan. Agar serangan menjadi cepat dan tidak terlihat, penyerang harus memiliki keterampilan pemrograman dan pengetahuan yang diperlukan tentang cara kerja kontrak pintar. Dengan toolkit khas peretas, mereka dapat mengunduh salinan lengkap blockchain mereka sendiri dari versi utama jaringan dan kemudian sepenuhnya menyempurnakan proses serangan seolah-olah transaksi terjadi di jaringan nyata.

Selanjutnya, penyerang harus mempelajari model bisnis proyek dan layanan eksternal yang digunakan. Kesalahan dalam model matematika logika bisnis dan layanan pihak ketiga adalah dua yang paling banyak dimanfaatkan oleh peretas.

Pengembang kontrak pintar seringkali membutuhkan lebih banyak data yang relevan pada saat transaksi daripada yang dapat mereka miliki pada waktu tertentu. Oleh karena itu mereka terpaksa menggunakan layanan eksternal, misalnya oracle. Layanan ini tidak dirancang untuk bekerja di lingkungan tepercaya, jadi menggunakannya membawa risiko tambahan. Menurut statistik untuk satu tahun kalender (sejak musim panas 2020), jenis risiko tertentu bertanggung jawab atas persentase kerugian terkecil – hanya 10 peretasan, yang mengakibatkan kerugian total sekitar $50 juta.

Kesalahan Pengkodean

Kontrak pintar adalah konsep yang relatif baru di dunia TI. Terlepas dari kesederhanaannya, bahasa pemrograman kontrak pintar membutuhkan paradigma pengembangan yang sangat berbeda. Pengembang seringkali tidak memiliki keterampilan pengkodean yang diperlukan dan membuat kesalahan serius yang menyebabkan kerugian besar bagi pengguna.

Audit keamanan hanya menghilangkan sebagian dari jenis risiko ini, karena sebagian besar perusahaan audit di pasar tidak bertanggung jawab atas kualitas pekerjaan yang mereka lakukan dan hanya tertarik pada aspek keuangan. Lebih dari 100 proyek diretas karena kesalahan pengkodean, yang mengakibatkan kerugian total sekitar $500 juta. Contoh yang kuat adalah dForce peretasan yang terjadi pada 19 April 2020. Peretas menggunakan kerentanan dalam standar token ERC-777 bersamaan dengan serangan masuk kembali dan berhasil mendapatkan $25 juta.

Pinjaman kilat, manipulasi harga, dan serangan penambang

Informasi yang diberikan ke kontrak pintar hanya relevan pada saat pelaksanaan transaksi. Secara default, kontrak tidak kebal terhadap kemungkinan manipulasi eksternal atas informasi yang terkandung di dalamnya. Ini memungkinkan seluruh spektrum serangan.

Pinjaman kilat adalah pinjaman tanpa agunan, tetapi melibatkan kewajiban untuk mengembalikan kripto yang dipinjam dalam transaksi yang sama. Jika peminjam tidak mengembalikan uang, maka transaksi dibatalkan (reversed). Pinjaman tersebut memungkinkan peminjam untuk menerima sejumlah besar cryptocurrency dan menggunakannya untuk tujuan mereka sendiri. Serangan pada pinjaman kilat biasanya melibatkan manipulasi harga. Penyerang pertama-tama dapat menjual sejumlah besar token pinjaman dalam suatu transaksi, menyebabkan harganya turun, dan kemudian melakukan serangkaian tindakan dengan nilai token yang sangat rendah sebelum membelinya kembali.

Serangan penambang adalah analog dari serangan pinjaman kilat pada blockchain yang beroperasi pada algoritma konsensus bukti kerja. Jenis serangan ini lebih kompleks dan mahal, tetapi dapat melewati beberapa lapisan perlindungan pinjaman kilat. Begini cara kerjanya: Penyerang menyewa kemampuan penambangan dan membentuk blok hanya dengan transaksi yang dibutuhkannya. Di dalam blok yang diberikan, mereka pertama-tama dapat meminjam token, memanipulasi harga, dan kemudian mengembalikan token yang dipinjam. Karena penyerang secara independen membentuk transaksi yang dimasukkan ke dalam blok, serta urutannya, serangan itu sebenarnya atom (tidak ada transaksi lain yang dapat “dijepit”) ke dalam serangan, seperti dalam kasus pinjaman kilat. Jenis serangan ini telah digunakan untuk meretas lebih dari 100 proyek, dengan kerugian total sekitar $1 miliar.

Jumlah rata-rata peretasan meningkat seiring waktu. Pada awal 2020, satu pencurian menelan biaya ratusan ribu dolar. Hingga akhir tahun, jumlahnya telah mencapai puluhan juta dolar.

Ketidakmampuan pengembang

Jenis risiko yang paling berbahaya adalah faktor kesalahan manusia. Orang-orang menggunakan DeFi untuk mencari uang cepat. Banyak pengembang tidak memenuhi syarat tetapi masih mencoba meluncurkan proyek dengan tergesa-gesa. Kontrak pintar adalah open source dan dengan demikian mudah untuk disalin dan dimodifikasi dengan cara kecil oleh peretas. Jika proyek asli berisi tiga jenis kerentanan pertama, mereka menyebar ke ratusan proyek kloning. RFI SafeMoon adalah contoh yang bagus karena mengandung kerentanan kritis yang ditumpangkan pada lebih dari seratus proyek, yang menyebabkan potensi kerugian lebih dari $2 miliar.

Artikel ini ditulis bersama oleh Vladislav Komissarov dan Dmitry Mishunin.

Pandangan, pemikiran, dan pendapat yang diungkapkan di sini adalah milik penulis saja dan tidak mencerminkan atau mewakili pandangan dan pendapat Cointelegraph.

Vladislav Komissarov adalah chief technology officer BondAppetit, protokol peminjaman DeFi dengan stablecoin yang didukung oleh aset dunia nyata dengan pendapatan periodik tetap. Dia memiliki lebih dari 17 tahun pengalaman dalam pengembangan web.

Dmitry Mishunin adalah pendiri dan chief technology officer HashEx. Lebih dari 30 proyek global berjalan pada integrasi blockchain yang dirancang oleh HashEx. Lebih dari 200 kontrak pintar diaudit pada 2017-2021.