Protokol peminjaman terdesentralisasi, Sturdy Finance menjadi korban eksploitasi terbaru. Pada hari Senin (12/06) penyerang berhasil menarik 442 ETH dari platform tersebut, yang setara dengan sekitar Rp11,4 miliar.

Cryptopolitan melaporkan bahwa serangan itu dilakukan oleh individu tak dikenal, yang mengeksploitasi kerentanan reentrancy dalam sistem, yang memungkinkan mereka untuk memanipulasi oracle harga yang salah dan menyedot dana.

Sturdy Finance mengakui serangan itu dan menghentikan sementara semua perdagangan, sambil melakukan penyelidikan. Platform ini menawarkan yield farming dengan agunan crypto yang di-stake.

“Kami menyadari eksploitasi yang dilaporkan dari Sturdy Finance. Semua pasar telah dihentikan sementara. Tidak ada dana tambahan yang berisiko dan tidak ada tindakan pengguna yang diperlukan saat ini,” demikian bunyi pernyataan mereka.

Penyerang Melakukan Reentrancy Attack

Dalam aplikasi DeFi seperti Sturdy Finance, oracle harga memainkan peran penting dengan menyediakan data harga real time. Namun, mereka juga dapat berfungsi sebagai target utama peretas yang ingin mengeksploitasi kerentanan dan membahayakan keamanan platform.

Serangan terhadap Sturdy Finance dimulai dengan reentrancy attack (serangan reentrancy), sebuah metode yang biasa digunakan untuk secara curang menarik dana dari protokol DeFi.

Pada umumnya, serangan reentrancy terjadi ketika sebuah smart contract memanggil fungsi eksternal, dan serangan ini dimanfaatkan dengan cara memanggil fungsi tersebut secara berulang-ulang, sebelum fungsi sebelumnya selesai dieksekusi. Dengan demikian, kontrak eksternal dapat memanipulasi logika smart contract dan mengakses data atau sumber daya secara tidak sah. Dengan memanfaatkan celah ini, penyerang dapat menarik lebih banyak dana daripada hak sah mereka.

Setelah penyerang mendapatkan kendali atas pemanggilan fungsi, mereka melanjutkan untuk mengeksploitasi oracle harga. Sturdy Finance mengandalkan smart contract "read-only" yang terpisah untuk mendapatkan oracle harganya, yang bertanggung jawab untuk secara akurat menentukan nilai pasar aset dalam liquidity pool yang dikelola oleh protokol pada pertukaran desentralisasi Balancer. Namun, penyerang berhasil memanipulasi oracle, memungkinkan mereka menguras dana dari Sturdy Finance.

Setelah serangan tersebut, data on-chain mengungkapkan bahwa penyerang menggunakan mixer Tornado Cash untuk mengaburkan aktivitas mereka. Mixer ini adalah alat yang digunakan untuk meningkatkan privasi dan mempersulit pelacakan transaksi di blockchain.

BlockSec, sebuah firma keamanan, mengidentifikasi akar penyebab pelanggaran ini sebagai kerentanan reentrancy tipikal dalam sistem Balancer, dikombinasikan dengan manipulasi harga B-stETH-STABLE.

Insiden ini menyoroti tantangan dan risiko terkait DeFi dan pentingnya langkah-langkah keamanan yang kuat. Menurut database De.Fi Rekt, sejauh bulan ini, sudah ada sembilan eksploitasi, peretasan, dan rugpul yang melanda dunia crypto dan DeFi. Yang mengalami kerugian terbesar adalah peretasan wallet Atom senilai $35 juta pada tanggal 4 Juni. Selain itu, ada lima rugpul pada token Binance Chain dan eksploit flash loan di Cellframe Network.

Secara kumulatif, sepanjang sejarah kripto, sebanyak $76,6 miliar dana telah hilang karena peretasan, eksploitasi, rugpul, dan penipuan. Namun, lebih dari setengahnya diakibatkan oleh runtuhnya ekosistem Terra/Luna pada Mei 2022.