Protokol peminjaman Euler Finance terkena serangan pinjaman flash cryptocurrency pada hari Minggu, dengan aktor ancaman mencuri $197 juta dalam berbagai aset digital.
Pencurian cryptocurrency terlibat beberapa tokentermasuk DAI senilai $8,75 juta, WBTC $18,5 juta, USDC $33,85 juta, dan stETH $135,8 juta.
Itu penyerang‘dompet ETH digunakan untuk menyimpan dana yang dicuri sedang dilacak, sehingga akan sulit bagi pelaku untuk memindahkan dana yang dicuri dan mengubahnya menjadi bentuk yang dapat digunakan.
Namun, Laporan eliptik bahwa pelaku ancaman sudah mencuci hasil melalui sanksi pencampur cryptocurrency Tornado Cash.
Startup di belakang Euler Finance, Euler Labs yang berbasis di Inggris, membagikan pernyataan singkat di Twitter, mengatakan bahwa mereka saat ini sedang berhubungan dengan profesional keamanan dan lembaga penegak hukum dan akan merilis lebih banyak informasi jika sudah siap.
Serangan tersebut menyebabkan nilai token Euler (EUL) menjadi turun 44,2% dalam semalam, dari $6,56 menjadi $3,37 saat menulis ini.
Serangan flash loan mengeksploitasi kerentanan dalam protokol pinjaman untuk meminjam uang dalam jumlah besar tanpa harus mengembalikan nilainya ke layanan.
Penyerang menggunakan eksploit yang memungkinkan mereka untuk memanipulasi harga token atau aset di platform selama beberapa detik saat mereka memegang jumlah yang dipinjamkan, sehingga ketika perdagangan selesai, mereka mendapatkan keuntungan besar.
Serangan flash loan serupa menargetkan Platform Pohon Kacang DeFi pada April 2022, ketika pelaku kejahatan mencuri aset senilai $182 juta.
Perusahaan keamanan dan analitik Blockchain PeckShield melaporkan bahwa peretasan Euler dimungkinkan karena logika yang cacat dalam sistem donasi dan likuidasinya.
Lebih khusus lagi, fungsi “donateToReserves” tidak memverifikasi bahwa penyerang menyumbangkan jumlah jaminan berlebih, dan sistem likuidasi tidak memverifikasi dengan benar tingkat konversi dari pinjaman ke aset agunan.
Cacat ini memungkinkan penyerang memanipulasi tingkat konversi untuk mendapatkan keuntungan dari proses likuidasi.
PeckShield mengatakan serangan itu melibatkan dua peretas, peminjam dan likuidator, yang bekerja dalam koordinasi untuk melakukan tindakan yang diperlukan yang diilustrasikan dalam diagram di bawah.
Peretasan DeFi telah terjadi kenaikan dalam beberapa tahun terakhir, dengan peretas mengabaikan upaya mereka untuk menyerang pertukaran dan mengalihkan fokus mereka ke eksploitasi cepat kelemahan logika dalam kontrak pintar platform peminjaman kripto.
Serangan-serangan ini sangat menghancurkan sehingga dapat menggagalkan perusahaan yang sehat dan makmur dalam semalam yang telah menjalani banyak audit keamanan.
