Apa Itu Serangan Pinjaman Flash (Flash Loan) ?

Sisi buruk dari DeFi muncul kembali ketika protokol Binance Smart Chain PancakeBunny mengalami serangan kerentanan pinjaman flash senilai $200 juta , kehilangan lebih dari 700.000 BUNNY dan 114.000 token BNB dalam prosesnya. Terlepas dari upaya terbaik industri, kerugian itu permanen. Dan tidak, terlepas dari beberapa permintaan, bahkan Nic Cage tidak dapat membuat peretas memasukkan kembali Bunny ke dalam kotaknya . 

Terlepas dari semua lelucon, serangan pinjaman kilat bukanlah hal yang mudah. Mereka sebenarnya menjadi masalah yang sangat serius dalam cryptocurrency dan khususnya ruang keuangan terdesentralisasi (DeFi) . 

Dalam artikel ini kita akan melihat apa itu, bagaimana cara kerjanya, mengapa mereka begitu umum dan apakah mereka bisa dihentikan sama sekali. 

Apa itu Serangan Pinjaman Flash?

Serangan pinjaman kilat adalah jenis serangan DeFi di mana pencuri dunia maya mengeluarkan flah loan (suatu bentuk pinjaman tanpa jaminan) dari protokol pinjaman dan menggunakannya bersama dengan berbagai jenis tipu muslihat untuk memanipulasi pasar yang menguntungkan mereka. Serangan semacam itu dapat terjadi hanya dalam hitungan detik, namun masih melibatkan empat atau lebih protokol DeFi.

Serangan flash loan adalah jenis serangan DeFi yang paling umum karena paling murah untuk dilakukan dan paling mudah untuk dihindari. Mereka secara konsisten menjadi berita utama sejak lonjakan popularitas DeFi pada tahun 2020 dan tampaknya semakin merajalela pada tahun 2021, mencakup kerugian beberapa ratus juta dolar hingga saat ini.

Apa Itu Flash Loan?

Flash Loan adalah jenis baru pinjaman tanpa jaminan yang ditegakkan oleh kontrak pintar yang dipelopori oleh Aave , salah satu protokol pinjaman teratas di DeFi.

Secara tradisional ada dua jenis pinjaman: pinjaman dijamin, yang memerlukan agunan, dan pinjaman tanpa jaminan, yang tidak memerlukan agunan. Contoh yang baik dari pinjaman tanpa jaminan adalah ketika Anda meminjam $2.000 dari bank. Beberapa bank bersedia meminjamkan Anda jumlah itu asalkan Anda memiliki rekam jejak yang baik dalam membayar pinjaman. 

Namun, jika jumlah yang ingin Anda pinjam terlalu besar, akan terlalu berisiko bagi mereka untuk menawarkan pinjaman tanpa jaminan, bahkan jika Anda memiliki nilai kredit yang baik. Misalnya, jika Anda ingin meminjam $30.000, bank biasanya meminta Anda untuk memberikan jaminan, seperti rumah, kendaraan, dll., untuk mengurangi risikonya.

Pinjaman kilat pada dasarnya adalah pinjaman tanpa jaminan pada steroid untuk generasi degen DeFi , tidak memerlukan jaminan, pemeriksaan kredit, atau batasan berapa banyak yang dapat Anda pinjam, asalkan Anda dapat membayar kembali pinjaman dalam transaksi yang sama. 

Arbitrase adalah kasus penggunaan pinjaman kilat yang paling populer karena memungkinkan pedagang memperoleh keuntungan dari perbedaan harga di berbagai bursa. Misalnya, jika LINK adalah $30 di Exchange A dan $35 di Exchange B, pengguna dapat meminjam melalui pinjaman kilat dan melakukan pesanan terpisah untuk membeli 100 LINK seharga $3.000 di Exchange A, lalu menjual semuanya seharga $3.500 di Exchange B dan membayar mengembalikan pinjaman $3.000. Dalam skenario ini, pengguna akan dapat mengantongi $500 dikurangi biaya.

Cara Kerja Serangan Flash Loan

Flash Loan memungkinkan pengguna untuk meminjam sebanyak yang mereka inginkan dengan modal nol. Misalnya, jika Anda ingin meminjam ETH senilai $70.000 , protokol peminjaman langsung memberikannya kepada Anda, tetapi itu tidak berarti itu milik Anda. Anda perlu melakukan sesuatu dengan dana pinjaman untuk membayar kembali pinjaman dan mungkin mengantongi kelebihannya.

Agar ini berfungsi, prosesnya harus cepat dan utang harus dilunasi ke protokol tepat waktu, jika tidak, transaksi akan terbalik. Pemberi pinjaman yang terdesentralisasi tidak memerlukan jaminan dari Anda karena perjanjian untuk membayar hutang Anda ditegakkan oleh blockchain . Penyerang pinjaman kilat berkembang dalam menemukan cara untuk memanipulasi pasar sambil tetap mematuhi aturan blockchain.

Serangan PancakeBunny

Mari kita lihat kembali pancakeBunny dan daya tariknya yang fatal bagi para peretas. serangan Flash Loan terbaru pada Mei 2021 terjadi pada PancakeBunny , sebuah BSC bertenaga hasil pertanian aggregator, yang menderita mengeksploitasi yang menyebabkan nya menurun lebih dari 95% dari nilai sebelumnya. 

Penyerang awalnya meminjam sejumlah besar BNB melalui PancakeSwap dan menggunakannya untuk memanipulasi harga USDT /BNB dan BUNNY/BNB di kumpulan PancakeBunny. Ini memungkinkan peretas untuk mencuri BUNNY dalam jumlah besar, yang mereka buang ke pasar, menyebabkan harga jatuh. Peretas kemudian membayar kembali utang tersebut melalui PancakeSwap.

Data menunjukkan bahwa peretas berhasil mendapatkan keuntungan hampir $ 3 juta, meninggalkan protokol yang sedikit hancur di belakangnya.

Eksploitasi Alpha Homora

Peretasan Flash Loan terbesar pada tahun 2021 terjadi Februari lalu ketika protokol Alpha Homora menghabiskan $37 juta menggunakan Iron Bank, platform pinjaman Cream. Protokol pertanian hasil leverage dipukul dengan serangkaian pinjaman kilat.

Peretas berulang kali meminjam sUSD dari Iron Bank melalui dapp Alpha Homora, menggandakan jumlah yang dipinjam setiap kali. Ini dilakukan dalam proses dua transaksi di mana peretas meminjamkan dana kembali ke Iron Bank setiap kali, yang memungkinkan mereka untuk menerima Yearn Synth sUSD (cySUSD) sebagai imbalannya.

Kemudian, pelaku meminjam 1,8 juta USD Coin (USDC) dari Aave melalui flash loan kemudian menukarnya dengan sUSD menggunakan Curve . sUSD digunakan untuk membayar kembali Flash Loan dan meminjamkan ke Iron Bank, yang memungkinkan mereka untuk terus meminjam dan meminjamkan lebih banyak dari mereka dan menerima jumlah cySUSD yang proporsional setiap kali.

Pada dasarnya, para peretas membilas dan mengulangi proses ini berkali-kali, yang memungkinkan mereka untuk mencuri sejumlah besar Creamy cyUSD yang pada gilirannya mereka gunakan untuk meminjam cryptocurrency lain dari Iron Bank. Oleh karena itu, mereka meminjam 13K Wrapped Ethereum (WETH) , 3,6 juta USDC, 5,6 juta USDT, dan 4,2 juta DAI .

Seperti yang Anda lihat, prosesnya bisa sangat rumit dan memerlukan serangkaian langkah yang perlu dilakukan dengan sangat cepat, yang merupakan bukti seberapa jauh para penyerang ini bersedia melakukannya.

Mengapa Serangan Pinjaman Flash Biasa Terjadi di DeFi

Pinjaman kilat adalah skema berisiko rendah, berbiaya rendah, dan berhadiah tinggi, menjadikannya kombinasi yang berbahaya di benak para penjahat. 

Berikut adalah alasan utama mengapa serangan pinjaman kilat meningkat. 

Serangan Flash Loan Murah

Tidak seperti serangan 51% yang membutuhkan sumber daya besar untuk dilakukan, pinjaman flash hanya membutuhkan tiga hal: komputer, koneksi internet, dan yang paling penting, kecerdikan. Peretas tampaknya perlu merencanakan bagaimana mereka menyerang, tetapi eksekusinya hanya membutuhkan beberapa detik hingga beberapa menit. Oleh karena itu, tidak memerlukan banyak investasi dalam waktu baik.

Serangan Pinjaman Kilat Berisiko Rendah

Melakukan aktivitas kriminal apapun menimbulkan risiko, tetapi bayangkan merampok bank tanpa perlu secara fisik berada di bank. Ini dengan kasar meringkas sudut pandang penyerang pinjaman kilat. Satu setengah tahun terakhir telah membuktikan betapa mudahnya lolos dari pencurian protokol DeFi. 

Faktanya, belum ada penyerang Flash Loan yang tertangkap, setidaknya belum lama ini. Ini karena kebanyakan dari mereka tidak meninggalkan jejak setelah mereka pergi karena sifat jaringan tanpa izin dan alat yang tersedia untuk mengaburkan identitas seperti Tornado Cash.

Cara Mencegah Serangan Pinjaman Flash

Mempertimbangkan meningkatnya jumlah serangan pinjaman kilat saat ini, jelas bahwa belum ada solusi menyeluruh dan akhir. Namun, ada langkah-langkah penting yang dapat diambil untuk mengatasi masalah ini. 

Gunakan Oracle Terdesentralisasi untuk Data Harga

Yang paling cara optimal untuk mengurangi vektor serangan untuk pinjaman Flash mengeksploitasi adalah untuk Defi platform untuk menggunakan harga desentralisasi nubuat seperti Chainklink dan Protokol Band bukan mengandalkan pada tunggal DEX untuk pakan harga mereka. Alpha Homora harus mempelajari ini dengan susah payah sebelum memutuskan untuk meluncurkan Alpha Oracle Aggregator mereka Mei lalu. 

Paksa Transaksi Penting untuk Melewati Dua Blok

Dragonfly Research telah mengusulkan untuk memaksa Flash Loan melalui dua blok, bukan satu. Namun, ini juga bukan solusi yang lengkap karena jika dirancang dengan tidak benar, pengeksploitasi dapat dengan mudah melakukan serangan Flash Loan kedua blok . Selain itu, ini dapat secara drastis memengaruhi UI protokol DeFi karena transaksi tidak lagi sinkron.

Menggunakan Alat Deteksi Serangan Flash Loan

Salah satu faktor terbesar yang memungkinkan pengeksploitasi lolos dari serangan pinjaman flash adalah keterlambatan waktu respons dari pengembang platform DeFi. Dan kita tidak bisa menyalahkan mereka karena eksploitasi biasanya sulit diidentifikasi sampai terlambat.

OpenZeppelin baru-baru ini meluncurkan program bernama OpenZeppelin Defender yang memungkinkan manajer proyek mendeteksi eksploitasi kontrak pintar dan aktivitas tidak biasa lainnya, yang memungkinkan mereka merespons dengan cepat dan menetralisir serangan. Menurut posting blog mereka , alat ini telah diintegrasikan oleh tim Synthetix , Yearn dan Opyn .

Bawa Pulang

Serangan pinjaman kilat adalah hal biasa dan mereka akan tetap ada, setidaknya untuk sementara waktu. Terlepas dari semua solusi yang diusulkan, kita perlu mencatat bahwa teknologi DeFi tidak cukup matang bagi kita untuk berpuas diri karena setiap minggu, kerentanan baru diekspos oleh peretas sebelum ditambal. 

Satu-satunya cara pengembang dapat mengatasinya adalah dengan memaksimalkan solusi yang mereka miliki saat ini dan jika tidak berhasil, mereka akan mempelajari sesuatu yang baru setiap kali mereka diserang.

Untuk pengguna, kami tidak boleh berkecil hati untuk berpartisipasi dalam skema DeFi seperti staking, hasil pertanian, dan penambangan likuiditas karena mereka juga menghadirkan peluang yang sangat besar. Ingatlah untuk mengkalibrasi risiko dengan hati-hati dan jangan pernah menyetor dana yang Anda tidak mampu kehilangannya. Investasi adalah semua tentang manajemen risiko dan taruhan DeFi tidak berbeda.

Leave a Reply

Your email address will not be published. Required fields are marked *