Serangan itu terlihat pada hari Minggu pagi oleh perusahaan analitik blockchain PeckShield, yang memperkirakan laba bersih untuk peretas adalah sekitar $80 juta dari total dana yang dicuri, dikurangi beberapa dana pinjaman yang diperlukan untuk melakukan serangan itu.
Beanstalk mengakui serangan itu dalam sebuah tweet tak lama setelah itu, mengatakan mereka "menyelidiki serangan itu dan akan membuat pengumuman kepada komunitas sesegera mungkin."
Pohon Kacang menggambarkan dirinya sebagai “protokol stablecoin berbasis kredit terdesentralisasi.” Ini mengoperasikan sistem di mana peserta mendapatkan hadiah dengan menyumbangkan dana ke kumpulan dana pusat (disebut "silo") yang digunakan untuk menyeimbangkan nilai satu token (dikenal sebagai "kacang") mendekati $1.
Seperti banyak proyek DeFi lainnya, pembuat Beanstalk — tim pengembangan yang disebut Publius — menyertakan mekanisme tata kelola di mana peserta dapat memberikan suara secara kolektif pada perubahan kode. Mereka kemudian akan mendapatkan hak suara sebanding dengan nilai token yang mereka pegang, menciptakan kerentanan yang akan terbukti menjadi kehancuran proyek.
Serangan itu dimungkinkan oleh produk DeFi lain yang disebut "pinjaman flash", yang memungkinkan pengguna untuk meminjam cryptocurrency dalam jumlah besar untuk waktu yang sangat singkat (menit atau bahkan detik). Pinjaman kilat dimaksudkan untuk menyediakan likuiditas atau memanfaatkan peluang arbitrase harga tetapi juga dapat digunakan untuk tujuan yang lebih jahat.
Menurut analisis dari perusahaan keamanan blockchain CertiK, penyerang Pohon Kacang menggunakan pinjaman kilat yang diperoleh melalui protokol terdesentralisasi Aave untuk meminjam hampir $ 1 miliar dalam aset cryptocurrency dan menukarnya dengan kacang yang cukup untuk mendapatkan 67 persen hak suara dalam proyek tersebut. Dengan saham supermayoritas ini, mereka dapat menyetujui eksekusi kode yang mentransfer aset ke dompet mereka sendiri. Penyerang kemudian langsung melunasi pinjaman flash, menghasilkan keuntungan $80 juta.
Berdasarkan durasi pinjaman flash Aave, seluruh proses berlangsung dalam waktu kurang dari 13 detik.
“Kami melihat tren peningkatan serangan pinjaman kilat tahun ini,” kata CEO dan salah satu pendiri CertiK Ronghui Gu. “Serangan ini lebih menekankan pentingnya audit keamanan, dan juga dididik tentang jebakan masalah keamanan saat menulis kode Web3.”
Ketika diterapkan dengan benar, layanan DeFi mendapat manfaat dari semua keamanan blockchain, tetapi kompleksitasnya dapat membuat kode sulit untuk diaudit sepenuhnya, membuat proyek semacam itu menjadi target yang menarik bagi peretas. Dalam kasus peretasan Pohon Kacang, tim Publius mengakui bahwa mereka tidak memasukkan ketentuan apa pun untuk mengurangi kemungkinan serangan pinjaman kilat, meskipun mungkin ini tidak terlihat sampai situasi terjadi.
Permintaan komentar (dikirim ke tim Publius melalui Discord) belum menerima tanggapan pada waktu pers.
Brian Pasfield, CTO di platform pinjaman cryptocurrency Fringe Finance, mengatakan bahwa struktur tata kelola yang terdesentralisasi (dikenal sebagai DAO) juga dapat menimbulkan masalah.
“Tata kelola DAO saat ini sedang tren di DeFi,” kata Pasfield. “Meskipun ini merupakan langkah penting dalam proses desentralisasi, hal itu harus dilakukan secara bertahap dan dengan semua risiko yang mungkin dipertimbangkan dengan cermat. Pengembang dan administrator harus menyadari titik kegagalan baru yang dapat dibuat oleh pengembang atau anggota DAO secara sengaja atau tidak sengaja.”
Untuk investor di Pohon Kacang yang telah kehilangan koin yang dipertaruhkan, mungkin ada sedikit jalan lain. Dalam pesan yang diposting segera setelah peretasan, para pendiri Pohon Kacang menulis bahwa "sangat tidak mungkin" proyek akan menerima dana talangan karena belum dikembangkan dengan dukungan VC, menambahkan "kami kacau."
Di server Discord proyek, banyak pengguna mengklaim telah kehilangan puluhan ribu dolar cryptocurrency yang diinvestasikan. Sejak serangan itu, peretas telah memindahkan dana melalui Tornado Cash, layanan mixer yang berfokus pada privasi yang telah menjadi langkah utama dalam pencucian dana cryptocurrency yang dicuri. Dengan sebagian besar uang yang dicuri sekarang dikaburkan, itu tidak mungkin dilacak dan dikembalikan.
Setelah serangan itu, nilai stablecoin BEAN telah merosot, menembus batas $1 dan diperdagangkan sekitar 14 sen pada Senin sore.
Post a Comment