Dunia crypto kembali dihebohkan dengan serangan besar terhadap beberapa protokol DeFi pada Sabtu (30/07) kemarin. Penyerang ini berhasil mencuri sekitar 7 Juta CRV!

Mereka memanfaatkan kerentanan yang ada dalam liquidity pool di Curve Finance. Kerentanan tersebut terkait dengan bahasa pemrograman Vyper, sebuah bahasa pemrograman open-source yang dirancang khusus untuk smart contract Ethereum. Vyper mengkonfirmasi bahwa versi Vyper 0.2.15, 0.2.16, dan 0.3.0 memang memiliki sejumlah kerentanan yang memungkinkan adanya serangan re-entrancy.

Serangan re-entrancy adalah metode yang cukup umum bagi penyerang untuk mencuri dana dari protokol DeFi. Kerentanannya memungkinkan penyerang untuk melakukan beberapa panggilan dalam satu fungsi dan mengelabui smart contract agar menghitung saldo dengan cara yang salah.

Curve Finance juga mengonfirmasi melalui cuitan Twitternya bahwa pool likuiditas lain dalam platform Curve Finance yang tidak menggunakan bahasa pemrograman Vyper tidak terpengaruh oleh serangan ini. 

Mungkin sebagian dari Sobat Reku yang masih bingung dengan apa itu liquidity pool, ini adalah sebuah kumpulan aset kripto yang terhubung dengan smart contract yang menyimpan token dan menyediakan likuiditas ke pasar crypto tanpa perlu perantara keuangan. 

JPEG’d adalah salah satu protokol yang menjadi korban kehilangan crypto hingga mencapai $11 Juta USD, mereka juga lah yang pertama mengidentifikasi masalah liquidity pool di Curve Finance. Selain itu, beberapa proyek lain seperti Alchemix dan Metronome DAO juga mengalami kerugian besar akibat serangan serupa.

 

Penyelidikan dan perbaikan terus dilakukan oleh berbagai proyek dan platform DeFi untuk meningkatkan keamanan dan mengatasi kerentanan seperti ini. Hal ini menjadi sesuatu yang penting bagi pengembang untuk menggunakan desain dan pengembangan yang tepat agar bisa menghindari serangan yang berpotensi merugikan seperti halnya serangan re-entrancy ini.

Dibalik serangan ini, ada aksi heroik dari seorang operator bot MEV dengan nama ENS ‘c0ffeebabe.eth’ yang mengembalikan sekitar 2,879 ETH atau setara dengan $5,4 Juta USD ke Curve Finance. 

Perusahaan keamanan PeckShield memperkirakan bahwa total aset yang diambil dari kumpulan Curve akibat kerentanan ini dan aktivitas jahat berikutnya mencapai $52 Juta USD. Namun, berkat campur tangan ‘c0ffeebabe.eth,’ kerugian tersebut berkurang menjadi $46.5 Juta USD.

Serangan terhadap Curve Finance ini juga menjadi jembatan yang menguntungkan bagi reward MEV sejak merge tahun lalu. Tidak tanggung-tanggung, menurut data dari mevboost.pics., ada sekitar 6,006 ETH atau $11.1 Juta USD dibayarkan sebagai rewards MEV kepada validator.

Sampai artikel ini dirilis, harga Curve DAO token ada di angka $0.64 dengan volume perdagangan dalam 24 terakhir mencapai $315 Juta. Tidak sedikit orang yang panik dan menjual token CRV mereka karena serangan ini. Bahkan Curve DAO Token turun sebesar 12,54 % hanya dalam kurun waktu 24 jam dari sebelumnya ada di harga $0,73. Mari kita tunggu update selanjutnya ya, Sobat Reku!

 

Referensi:

Cointelegraph, diakses pada 31 Juli

Decrypt, diakses pada 31 Juli

Coinpedia, diakses pada 31 Juli

Theblock, diakses pada 31 Juli