Menurut laporan terbaru, serangan flash loan sedang meningkat. Apa itu, dan apa risikonya?
Bayangkan bisa mengambil pinjaman dengan ukuran hampir tak terbatas tanpa memberikan agunan apa pun. Hanya ada satu tangkapan. Anda harus membayarnya kembali hampir secara instan. Terdengar aneh? Mungkin tidak. Tapi itulah yang dimaksud dengan flash loan. Seperti namanya, pinjaman ini berlangsung hampir secara instan. (Pikirkan superhero DC Comic, The Flash, yang dapat melakukan perjalanan dengan kecepatan cahaya.)
Sebuah laporan baru-baru ini oleh De.Fi menunjukkan bahwa flash loan sedang meningkat dan aktor jahat memanfaatkannya dalam peningkatan jumlah eksploitasi. Di Q1 tahun ini, $200 juta hilang melalui gaya eksploitasi ini.
Tetapi mengapa seseorang ingin mengambil pinjaman yang hampir seketika? Yah, seperti banyak hal di crypto, hasilnya bagus.
Flash Loan dan Flash Loan Attack Dijelaskan
Logika pinjaman kilat bergantung pada arbitrase, proses memanfaatkan perbedaan harga yang kecil. Berbeda dengan jenis pinjaman lainnya, flash loan tidak memerlukan proses persetujuan yang panjang sehingga dapat dieksekusi dengan cepat. “Mengingat rendahnya biaya yang terlibat dalam pinjaman satu transaksi, ada potensi besar untuk pengembalian yang tinggi,” jelas Artem Bondarenko, Arsitek Perangkat Lunak di De.Fi, dalam sebuah wawancara dengan BeInCrypto. “Bagi kreditur flash loan, tidak ada risiko karena pinjaman langsung dikembalikan. Jika tidak, transaksi gagal.”
Dalam keuangan tradisional, tidak ada yang persis seperti flash loan. Ini mirip dengan opsi panggilan tetapi dengan beberapa perbedaan yang signifikan. Dengan flash loan, Anda bisa langsung menggunakan uang pinjaman, sedangkan dengan call option, Anda harus menunggu. Juga, dalam keuangan tradisional, transaksi biasanya terjadi satu per satu, sedangkan dengan flash loan, terjadi dalam blok. Namun, instrumen jangka pendek ini tidak sepenuhnya tanpa kerugian, seperti yang diuraikan dalam laporan De.Fi.
“Serangan flash loan terjadi ketika seseorang dapat meminjam dalam jumlah besar di satu tempat dan menggunakannya untuk memanipulasi harga dengan membeli atau menjual dalam jumlah besar, sehingga memengaruhi harga suatu aset,” kata Bondarenko. “Kemudian menggunakan perubahan harga itu untuk mengeksploitasi pembelian atau penjualan yang berlawanan di sisi lain, menciptakan arbitrasi antara harga di dua tempat, kemudian membayar kembali pinjaman awal dan mengantongi selisihnya.”
“Jika protokol likuiditas dirancang dengan benar dengan oracle harga yang tepat, ini seharusnya tidak menjadi masalah, tetapi dalam kasus di mana desainnya buruk, itu adalah kerentanan yang dapat dieksploitasi dan mengarah pada peristiwa likuidasi massal,” tambah Bondarenko.
Siapa Korbannya?
Pinjaman flash menarik bagi penyerang karena memungkinkan untuk meminjam mata uang kripto dalam jumlah besar tanpa memberikan agunan. Untuk mencegah serangan semacam itu, langkah-langkah keamanan yang lebih baik seperti audit kode dan desain kontrak pintar yang kuat dapat diterapkan, dan kesadaran akan vektor serangan potensial dapat ditingkatkan dalam ekosistem DeFi.
Pada tanggal 13 Maret, Euler Finance, protokol peminjaman berbasis Ethereum yang terkenal, diretas, dan penyerang mencuri mata uang kripto yang berbeda senilai jutaan dolar, seperti Dai, USDC, Staked Ethereum, dan Wrapped Bitcoin, dengan melakukan beberapa transaksi.
Jumlah total yang dicuri hampir $196 juta, dengan $8.7 juta di Dai, $18.5 juta di WBTC, $135.8 juta di SteTH, dan $33.8 juta di USDC.
Penyerang memindahkan dana curian dari Binance Smart Chain ke Ethereum menggunakan jembatan multichain, lalu melakukan serangan flash loan. Mereka menyetor dana yang dicuri ke Tornado Cash, pencampur crypto terkenal, untuk mempersulit upaya pemulihan dan menyembunyikan identitas mereka.
Sebulan sebelumnya, pada 16 Februari, Platypus Finance, pembuat pasar otomatis, mengalami serangan flash loan terpisah. Penyerang mencuri stablecoin senilai $8,500,887, termasuk USDC, USDT, BUSD, dan DAI.
Dalam kasus ini, penyerang memanfaatkan kerentanan dalam mekanisme pemeriksaan solvabilitas USP. Dalam prosesnya, penyerang mendapatkan flash loan sebesar 44,000,000 USDC, lalu menukarnya dengan 44,000,000 Platypus LP-USD. Mereka kemudian mencetak 41,700,000 token USP tanpa biaya, yang ditukar dengan berbagai stablecoin.
Platypus Finance telah bekerja sama dengan layanan pihak ketiga untuk membekukan aset yang dicuri, dan beberapa telah dibekukan. Kontrak jahat telah dihapus dan langkah-langkah keamanan tambahan diterapkan untuk mencegah serangan di masa mendatang. Namun, penyerang berhasil mentransfer sebagian dana yang dicuri.
Bagaimana Cara Mengurangi Risikonya?
Di satu sisi, Pinjaman Flash adalah salah satu penyeimbang crypto yang hebat. Mereka mengizinkan pedagang dengan modal lebih sedikit untuk terlibat dalam perdagangan dengan imbalan tinggi yang biasanya hanya terbuka untuk apa yang disebut Paus. “Tapi seperti yang telah kita lihat berkali-kali, flash loan juga menimbulkan risiko besar bagi protokol DeFi yang tidak memperhitungkan hal-hal seperti itu,” Adrian Hetman, Tech Lead dari tim triase di Immunefi, mengatakan kepada BeInCrypto.
“Protokol seharusnya tidak hanya melindungi diri mereka dari kemungkinan serangan flash loan tetapi juga dari serangan Whale, yaitu, apa yang akan terjadi jika pemain besar tiba-tiba menggunakan dana besar mereka untuk menggunakan protokol kami? Apakah sistem berperilaku seperti yang diinginkan? Apa alur bisnis 'yang diinginkan' kami?” lanjut Hetman. “Pemodelan ancaman akan membantu mengungkap potensi kelemahan sistem.”
“Dengan menggunakan Time-Weighted Average Price (TWAP), oracle dapat membantu meminimalkan manipulasi harga dengan merata-ratakan harga selama periode waktu tertentu, sehingga mempersulit penyerang untuk memanipulasi harga dalam satu transaksi. Selain itu, menerapkan sistem multi-oracle dapat memberikan redundansi dan pemeriksaan silang untuk data harga, yang semakin memperkuat pertahanan terhadap manipulasi,” tambah Hetman.
Dengan menerapkan circuit breaker, penyerang flash loan dapat dicegah untuk mengambil keuntungan dari harga yang dimanipulasi ketika terdeteksi perubahan harga yang signifikan, jelas Hetman. “Setelah penyebab ayunan harga diidentifikasi dan diatasi, perdagangan dapat dilanjutkan. Ini perlu menyertakan potensi perdagangan valid yang mungkin hanya tampak mencurigakan dari luar.”
“Penting juga untuk tidak membiarkan tindakan protokol besar terjadi hanya pada satu blok. Flash loan seringkali hanya bisa diambil dalam satu transaksi untuk satu blok,” tambah Hetman.
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/flash-loans-the-instant-mega-loans-undermining-the-crypto-market/