Industri keuangan terdesentralisasi (DeFi) telah kehilangan lebih dari satu miliar dolar oleh peretas dalam beberapa bulan terakhir, dan situasinya tampaknya semakin tidak terkendali.
Menurut statistik terbaru, sekitar $1.6 miliar di cryptocurrency dicuri dari platform DeFi pada kuartal pertama tahun 2022. Selain itu, lebih dari 90% dari semua crypto yang dicuri berasal dari protokol DeFi yang diretas.
Angka-angka ini menyoroti situasi mengerikan yang kemungkinan akan bertahan dalam jangka panjang jika diabaikan.
Mengapa peretas lebih memilih platform DeFi
Dalam beberapa tahun terakhir, peretas telah meningkatkan operasi yang menargetkan sistem DeFi. Salah satu alasan utama mengapa kelompok-kelompok ini tertarik pada sektor ini adalah banyaknya dana yang dimiliki oleh platform keuangan terdesentralisasi. Platform DeFi teratas memproses miliaran dolar dalam transaksi setiap bulan. Dengan demikian, imbalannya tinggi bagi peretas yang mampu melakukan serangan dengan sukses.
Fakta bahwa sebagian besar kode protokol DeFi adalah open source juga membuatnya semakin rentan terhadap ancaman keamanan siber.
Ini karena program open source tersedia untuk diteliti oleh publik dan dapat diaudit oleh siapa saja yang memiliki koneksi internet. Dengan demikian, mereka mudah dijelajahi untuk mencari eksploitasi. Properti bawaan ini memungkinkan peretas menganalisis aplikasi DeFi untuk masalah integritas dan merencanakan pencurian sebelumnya.
Beberapa pengembang DeFi juga berkontribusi pada situasi dengan sengaja mengabaikan laporan audit keamanan platform yang diterbitkan oleh perusahaan keamanan siber bersertifikat. Beberapa tim pengembangan juga meluncurkan proyek DeFi tanpa melakukan analisis keamanan yang ekstensif. Ini meningkatkan kemungkinan cacat pengkodean.
Penyok lain dalam pelindung ketika datang ke keamanan DeFi adalah interkonektivitas ekosistem. Platform DeFi biasanya saling berhubungan menggunakan jembatan silang, yang meningkatkan kenyamanan dan keserbagunaan.
Sementara jembatan silang memberikan pengalaman pengguna yang ditingkatkan, potongan kode penting ini menghubungkan jaringan besar buku besar yang didistribusikan dengan berbagai tingkat keamanan. Konfigurasi multipleks ini memungkinkan peretas DeFi memanfaatkan kemampuan beberapa platform untuk memperkuat serangan pada platform tertentu. Ini juga memungkinkan mereka untuk dengan cepat mentransfer dana haram di beberapa jaringan terdesentralisasi dengan mulus.
Selain risiko yang disebutkan di atas, platform DeFi juga rentan terhadap sabotase orang dalam.
Pelanggaran keamanan
Peretas menggunakan berbagai teknik untuk menyusup ke sistem perimeter DeFi yang rentan.
Pelanggaran keamanan adalah kejadian umum di sektor DeFi. Menurut ke Chainalysis 2022 melaporkan, sekitar 35% dari semua crypto yang dicuri dalam dua tahun terakhir dikaitkan dengan pelanggaran keamanan.
Banyak dari mereka terjadi karena kode yang salah. Peretas biasanya mendedikasikan sumber daya yang signifikan untuk menemukan kesalahan pengkodean sistemik yang memungkinkan mereka melakukan jenis serangan ini dan biasanya menggunakan alat pelacak bug canggih untuk membantu mereka dalam hal ini.
Taktik umum lainnya yang digunakan oleh aktor ancaman untuk mencari platform yang rentan adalah melacak jaringan dengan masalah keamanan yang belum ditambal yang telah terungkap tetapi belum diterapkan.
Peretas di balik serangan peretasan Wormhole DeFi baru-baru ini yang menyebabkan kerugian sekitar $325 juta dalam token digital dilaporkan telah menggunakan strategi ini. Analisis komit kode mengungkapkan bahwa patch kerentanan yang diunggah ke repositori GitHub platform telah dieksploitasi sebelum patch di-deploy.
Kesalahan tersebut memungkinkan para penyusup untuk memalsukan tanda tangan sistem yang memungkinkan pencetakan 120,000 koin Wrapped Ether (wETH) senilai $325 juta. Peretas kemudian menjual weTH seharga sekitar $250 juta dalam bentuk Ether (ETH). Koin Ethereum yang dipertukarkan berasal dari cadangan penyelesaian platform, sehingga menyebabkan kerugian.
Layanan Wormhole bertindak sebagai jembatan antara rantai. Ini memungkinkan pengguna untuk menghabiskan cryptocurrency yang disimpan dalam token yang dibungkus di seluruh rantai. Ini dilakukan dengan mencetak token yang dibungkus Wormhole, yang mengurangi kebutuhan untuk menukar atau mengonversi koin yang disimpan secara langsung.
Baru-baru ini: Bagaimana arsip blockchain dapat mengubah cara kami merekam sejarah di masa perang
Serangan pinjaman kilat
Pinjaman kilat adalah pinjaman DeFi tanpa jaminan yang tidak memerlukan pemeriksaan kredit. Mereka memungkinkan investor dan pedagang untuk meminjam dana secara instan.
Karena kemudahannya, pinjaman kilat biasanya digunakan untuk memanfaatkan peluang arbitrase di ekosistem DeFi yang terhubung.
Dalam serangan pinjaman kilat, protokol pinjaman ditargetkan dan dikompromikan menggunakan teknik manipulasi harga yang menciptakan perbedaan harga buatan. Hal ini memungkinkan aktor jahat untuk membeli aset dengan harga yang sangat didiskon. Sebagian besar serangan pinjaman kilat membutuhkan waktu beberapa menit dan terkadang detik untuk dieksekusi dan melibatkan beberapa protokol DeFi yang saling terkait.
Salah satu cara penyerang memanipulasi harga aset adalah dengan menargetkan ramalan harga yang dapat diserang. Ramalan harga DeFi, misalnya, menarik tarifnya dari sumber eksternal seperti bursa dan situs perdagangan terkemuka. Peretas dapat, misalnya, memanipulasi situs sumber untuk mengelabui oracle agar menjatuhkan nilai aset yang ditargetkan untuk sementara waktu sehingga mereka berdagang dengan harga yang lebih rendah dibandingkan dengan pasar yang lebih luas.
Penyerang kemudian membeli aset dengan kurs kempes dan dengan cepat menjualnya dengan kurs mengambang. Menggunakan token leverage yang diperoleh melalui pinjaman kilat memungkinkan mereka untuk memperbesar keuntungan.
Selain memanipulasi harga, beberapa penyerang dapat melakukan serangan pinjaman kilat dengan membajak proses pemungutan suara DeFi. Baru-baru saja, DeFi Pohon Kacang mengalami kerugian $ 182 juta setelah penyerang mengambil keuntungan dari kekurangan dalam sistem tata kelolanya.
Tim pengembangan Pohon Kacang telah menyertakan mekanisme tata kelola yang memungkinkan peserta untuk memilih perubahan platform sebagai fungsi inti. Pengaturan ini populer di industri DeFi karena menjunjung tinggi demokrasi. Hak suara pada platform ditetapkan sebanding dengan nilai token asli yang dimiliki.
Analisis pelanggaran mengungkapkan bahwa penyerang memperoleh pinjaman kilat dari protokol Aave DeFi untuk mendapatkan aset hampir $ 1 miliar. Hal ini memungkinkan mereka untuk mendapatkan 67% mayoritas dalam sistem tata kelola pemungutan suara dan memungkinkan mereka untuk secara sepihak menyetujui pemindahan aset ke alamat mereka. Para pelaku kabur dengan sekitar $80 juta dalam mata uang digital setelah membayar kembali pinjaman kilat dan biaya tambahan terkait.
Koin kripto senilai sekitar $360 juta dicuri dari platform DeFi pada tahun 2021 menggunakan pinjaman kilat, menurut Chainalysis.
Ke mana perginya crypto yang dicuri?
Untuk waktu yang lama sekarang, peretas telah menggunakan pertukaran terpusat untuk mencuci dana curian, tetapi penjahat dunia maya mulai membuangnya untuk platform DeFi. Pada tahun 2021, penjahat dunia maya mengirim sekitar 17% dari semua crypto gelap ke jaringan DeFi, yang merupakan lompatan signifikan dari 2% pada tahun 2020.
Pakar pasar berteori bahwa peralihan ke protokol DeFi adalah karena implementasi yang lebih luas dari proses Know Your Customer (KYC) dan Anti-Money Laundering (AML) yang lebih ketat. Prosedur tersebut membahayakan anonimitas yang dicari oleh penjahat dunia maya. Sebagian besar platform DeFi mengabaikan proses penting ini.
Kerjasama dengan pihak berwenang
Pertukaran terpusat juga, sekarang lebih dari sebelumnya, bekerja dengan pihak berwenang untuk melawan kejahatan dunia maya. Pada bulan April, pertukaran Binance memainkan peran penting dalam pemulihan $5.8 juta dalam cryptocurrency yang dicuri itu adalah bagian dari simpanan $625 juta yang dicuri dari Axie Infinity. Uang itu awalnya dikirim ke Tornado Cash.
Tornado Cash adalah layanan anonimisasi token yang mengaburkan asal dana dengan memecah tautan on-chain yang digunakan untuk melacak alamat transaksi.
Sebagian dari dana yang dicuri, bagaimanapun, dilacak oleh perusahaan analitik blockchain ke Binance. Penjarahan diadakan di 86 alamat di bursa.
Setelah insiden tersebut, juru bicara Departemen Keuangan Amerika Serikat menggarisbawahi bahwa pertukaran crypto yang menangani uang dari sanksi risiko alamat crypto yang masuk daftar hitam.
Tornado Cash juga tampaknya akan bekerja sama dengan pihak berwenang untuk menghentikan transfer dana curian ke jaringannya. Perusahaan telah mengatakan bahwa mereka akan menerapkan alat pemantauan untuk membantu mengidentifikasi dan memblokir dompet yang diembargo.
Tampaknya ada beberapa kemajuan dalam penyitaan aset curian oleh pihak berwenang. Awal tahun ini, Departemen Kehakiman AS mengumumkan penyitaan crypto senilai $3.6 miliar dan menangkap dua orang yang terlibat dalam pencucian dana tersebut. Uang itu adalah bagian dari $4.5 miliar yang dicuri dari pertukaran kripto Bitfinex pada tahun 2016.
Penyitaan crypto adalah salah satu yang terbesar yang pernah tercatat.
CEO DeFi berbicara tentang situasi saat ini
Berbicara secara eksklusif kepada Cointelegraph awal pekan ini, Eric Chen, CEO dan salah satu pendiri Injective Labs – platform kontrak pintar yang dapat dioperasikan yang dioptimalkan untuk aplikasi keuangan terdesentralisasi – mengatakan bahwa ada harapan bahwa masalahnya akan mereda.
“Kami melihat air pasang terus surut, karena standar keamanan yang lebih kuat diberlakukan. Dengan pengujian yang tepat dan infrastruktur keamanan lebih lanjut, proyek DeFi akan dapat mencegah risiko eksploitasi umum di masa depan, ”katanya.
Mengenai langkah-langkah yang diambil jaringannya untuk mencegah serangan peretasan, Chen memberikan garis besar:
“Injective memastikan model keamanan aplikasi-sentris yang didefinisikan lebih ketat dibandingkan dengan aplikasi DeFi berbasis Ethereum Virtual Machine tradisional. Desain blockchain dan logika modul inti melindungi Injective dari eksploitasi umum seperti masuk kembali, nilai maksimum yang dapat diekstraksi, dan pinjaman kilat. Aplikasi yang dibangun di atas Injective dapat mengambil manfaat dari langkah-langkah keamanan yang diterapkan di blockchain pada tingkat konsensus.”
Baru-baru ini: Meningkatnya adopsi global menempatkan crypto dengan sempurna untuk digunakan dalam ritel
Cointelegraph juga berkesempatan untuk berbicara dengan Konstantin Boyko-Romanovsky, CEO dan pendiri Allnodes — platform hosting dan staking non-penahanan — tentang peningkatan insiden peretasan. Mengenai katalis utama di balik tren, dia berkata:
“Tidak diragukan lagi akan membutuhkan waktu untuk menurunkan risiko peretasan DeFi. Namun, hal itu tidak mungkin terjadi dalam semalam. Ada rasa balapan yang tersisa di DeFi. Semua orang tampaknya terburu-buru, termasuk para pendiri proyek. Pasar berkembang lebih cepat daripada kecepatan programmer menulis kode. Pemain bagus yang mengambil setiap tindakan pencegahan adalah minoritas.”
Dia juga memberikan beberapa wawasan tentang prosedur yang akan membantu mengatasi masalah:
“Kode harus menjadi lebih baik dan kontrak pintar harus diaudit secara menyeluruh, itu sudah pasti. Selain itu, pengguna harus selalu diingatkan tentang etika online yang berhati-hati. Mengidentifikasi kekurangan apa pun dapat menjadi insentif yang menarik. Ini, pada gilirannya, dapat mendorong perilaku yang lebih sehat di seluruh protokol tertentu.”
Industri DeFi mengalami kesulitan menggagalkan serangan peretasan. Namun, ada harapan bahwa peningkatan pemantauan dari pihak berwenang dan kerja sama yang lebih besar di antara bursa akan membantu mengekang momok tersebut.
Sumber: https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide