Apa itu Flash Loan Attack?

Munculnya mata uang kripto dan teknologi blockchain telah menyebabkan munculnya berbagai tren dan teknologi revolusioner. Keuangan terdesentralisasi (DeFi) adalah contoh utamanya. Ditujukan untuk menciptakan ekosistem keuangan yang tanpa izin, terukur, transparan, dan terdesentralisasi, DeFi telah berkembang secara eksponensial. Namun, seperti kebanyakan tren lainnya, ada beberapa masalah yang masih ada. Serangan flash loan adalah salah satunya.

Serangan PancakeBunny - yang menurut laporan, menyebabkan kerugian lebih dari $200 juta - adalah salah satu serangan flash yang paling terkenal belakangan ini. Artikel ini akan membahas flash loan attack, kasus-kasus yang paling terkenal, dan bagaimana cara mencegahnya.

Apa itu flash loan?

Flash

Flash loan adalah pinjaman tanpa agunan yang diberlakukan oleh kontrak pintar. Dipelopori oleh Aave, salah satu platform DeFi terkemuka, mereka tidak memerlukan pemeriksaan kredit, batasan, dan yang lebih penting, tidak ada jaminan.

Secara tradisional, ada dua jenis pinjaman yang ada - aman dan tanpa jaminan. Pinjaman dengan jaminan membutuhkan agunan, pemeriksaan kredit, dan memiliki batas tertentu. Sebaliknya, pinjaman tanpa jaminan tidak memiliki jaminan. Ini berarti siapa pun dapat meminjam sejumlah uang tanpa memberikan aset yang substansial sebagai jaminan. Flash loan tanpa jaminan dan merupakan produk dari ruang DeFi.

Loan

Menurut tim Aave, flash loan adalah pinjaman tanpa agunan pertama di dunia. Dan telah dirancang khusus bagi pengguna dan pengembang untuk meminjam aset tanpa agunan dengan lancar dan instan. Flash loan memberikan peluang yang sangat baik untuk perdagangan arbitrase.

Perdagangan arbitrase memungkinkan para pedagang untuk mengeksploitasi perbedaan harga aset di beberapa bursa kripto. Sebagai contoh, jika harga token adalah $10 di Exchange X dan $13 di Exchange Y, seorang pengguna dapat memanfaatkan flash loan untuk meminjam $1.000 untuk membeli 100 token dari Exchange X. Kemudian menjualnya kepada orang lain di Exchange Y dengan harga $1.300.

Apa yang dimaksud dengan flash loan attack?

Attack

Serangan flash loan secara eksplisit mengeksploitasi kontrak pintar platform DeFi di mana aktor jahat meminjam sejumlah besar uang tanpa jaminan. Kemudian melanjutkan untuk memanipulasi harga token atau aset di bursa sebelum menjualnya di bursa lain.

Serangan flash loan adalah serangan yang paling umum dan paling murah di industri DeFi. Sejak pertumbuhan tren yang luar biasa beberapa tahun yang lalu, serangan ini telah menjadi masalah yang berulang. Serangannya cepat. Dan ketika aktor jahat mendapatkan pinjaman, mereka segera memulai "aksi jual buatan", yang mengakibatkan penurunan harga aset yang nyata.

Selain aksi jual yang tidak wajar, penyerang menggunakan berbagai tipu muslihat dan skema untuk memanipulasi pasar demi keuntungan mereka. Serangan ini dapat dikoordinasikan dengan cepat dan melewati banyak protokol keamanan DeFi.

Contoh flash loan attack

Serangan Alpha Amora

Dianggap sebagai serangan pinjaman kripto flash paling signifikan di tahun 2021, serangan Alpha Amora dieksekusi di Iron Bank, platform peminjaman milik Cream Protocol. Rekor $37 juta hilang akibat serangan ini.

Aktor jahat tersebut berulang kali meminjam sUSD dari Iron Bank melalui aplikasi terdesentralisasi Alpha Amora (DApp). Serangan tersebut terjadi dalam model dua transaksi di mana peretas meminjamkan sUSD yang dipinjam kembali ke Iron Bank, yang memungkinkan mereka menerima Yearn Synth USD sebagai hadiah. Peretas meminjam 1,8 juta Koin USD dari Aave, menukarnya dengan sUSD menggunakan platform Curve, dan menggunakan sUSD untuk membayar kembali pinjaman di Iron Bank. Tindakan ini memungkinkan mereka untuk terus meminjam dan membayar kembali, menghasilkan lebih banyak cySUSD.

Proses ini diulangi beberapa kali, memungkinkan mereka untuk mencuri dana sebanyak mungkin. Secara keseluruhan, peretas tersebut meminjam total 13 ribu WETH (Wrapped Ethereum), 5,6 juta USDT, 3,6 juta USDC, dan 4,2 juta DAI.

Serangan PancakeBunny

Serangan PancakeBunny yang terkenal pada tahun 2021 pada platform agregator pertanian hasil berbasis BSC memiliki efek yang menghancurkan pada proyek dan pasar. Peretasan tersebut menyebabkan nilai token PancakeBunny turun lebih dari 96%, menjadikannya salah satu serangan pinjaman kripto flash yang paling populer.

Pelaku meminjam BNB dalam jumlah yang cukup besar melalui PancakeSwap, yang digunakan untuk memanipulasi harga pasangan perdagangan USDT/BNB dan BUNNY/BNB. Peretas mencuri sejumlah besar uang melalui manipulasi harga ini, menyebabkan nilai BUNNY turun drastis. Menurut laporan, total $3 juta telah dicuri oleh peretas. Namun, efek dari eksploitasi tersebut bernilai lebih dari $200 juta karena harga token jatuh.

Serangan Cream Finance

Serangan kilat Cream Finance sangat kompleks, mengharuskan pelaku untuk menggunakan banyak skema dan strategi. Dilakukan pada tahun 2021, peretas meminjam $1,5 miliar dari saham brankas Yearn Protocol. Dengan jaminan sebesar $ 2 miliar, pelaku menggandakan nilainya dengan menyumbangkan dana yang dipinjam kembali ke Protokol Yearn.

Serangan Pinjaman Kripto ApeRocket

Serangan flash loan ApeRocket terjadi pada tahun 2021 pada protokol ApeRocket. Serangan tersebut dilakukan dalam dua proses yang terpisah namun saling terkait.

Pertama, peretas meminjam sejumlah besar $CAKE dan $AAVE, yang 99% di antaranya disimpan di brankas ApeRocket. Kedua, pelaku mengirimkan dana ke brankas protokol, menyebabkan proyek mencetak lebih banyak token untuk memperhitungkan dana tambahan yang diterima. Terakhir, peretas membuang token-token tersebut, mengakibatkan kerugian sebesar $1,26 juta dan jatuhnya nilai token Protokol ApeRocket (SPACE) hingga lebih dari 63%.

Serangan Platypus Finance

Pada tahun 2023, protokol Platypus Finance terkena flash loan attack yang dahsyat. Peretas meminjam 44 juta USDC dari protokol Aave, menggunakan dana tersebut untuk staking, dan kemudian meminjam lebih banyak lagi dari Platypus Finance. Aktor tersebut memulai "Penarikan Darurat" pada protokol dan menarik dana yang dipertaruhkan tanpa membayar USDC yang dipinjam.

Peretas segera menarik dana yang dipertaruhkan dengan memicu fungsi darurat. Serangan ini, tidak seperti kebanyakan serangan lainnya, diaktifkan oleh kerentanan dalam fungsi staking platform. Sistem gagal memeriksa status peretas sebelum penarikan diproses. Lebih dari $8,5 juta hilang dalam serangan ini.

Cara mencegah flash loan attack

Dengan meningkatnya jumlah flash loan attack, jelaslah bahwa tidak ada solusi tunggal yang berhasil untuk masalah ini. Hanya ada beberapa langkah signifikan yang dapat diambil untuk membatasi, meskipun pada tingkat yang lebih rendah, serangan ini. Langkah-langkah tersebut adalah

Memanfaatkan alat deteksi

Salah satu alasan utama terjadinya flash loan attack adalah karena lambatnya waktu respons pengembang platform DeFi. Namun, hanya mungkin untuk mengidentifikasi flash loan attack setelah serangan itu terjadi. Hal ini menyoroti perlunya alat deteksi.

Alat-alat ini dirancang untuk memungkinkan pengembang dan manajer proyek mendeteksi eksploitasi kontrak pintar dan aktivitas pengguna yang tidak umum lainnya. Deteksi yang dipercepat memungkinkan pengembang untuk bertindak cepat dan menetralkan peretasan hingga tingkat tertinggi. Sebagian besar protokol DeFi telah memasang lusinan alat keamanan siber ini untuk mengurangi serangan berbahaya ini.

Menggunakan Oracle terdesentralisasi untuk mendapatkan harga

Memanfaatkan Oracle terdesentralisasi untuk data harga adalah cara lain yang efisien untuk mencegah flash loan attack. Oracle seperti ChainLink dan Band Protocol adalah dua yang paling banyak dicari di pasar.

Protokol DeFi yang sebelumnya diretas seperti Alpha Amora meluncurkan agregator Oracle tahun lalu dan sejak itu mampu mendeteksi serangan sebelum terjadi.

Dua konfirmasi blok untuk transaksi

Tim peneliti Dragonfly mengusulkan penggunaan dua blok konfirmasi untuk transaksi. Meskipun ini tidak menjamin keamanan yang optimal - karena peretas dapat melancarkan serangan pada kedua blok tersebut - ini berfungsi sebagai alat manajemen risiko, karena membantu mengurangi dan sepenuhnya menghalau flash loan attack.

Pemutus arus

Cara lain yang tepat waktu untuk mencegah flash loan attack adalah dengan menonaktifkan pergerakan dana dalam jumlah besar, sehingga menyulitkan para pelaku untuk memanipulasi pasar dengan mudah.

Menerapkan penundaan waktu (kecepatan transaksi per detik) dan meningkatkan biaya pemrosesan flash loan adalah cara halus lainnya untuk membersihkan industri dari para pelaku dan tindakan jahat.

Mengapa flash loan attack sering terjadi?

Serangan flash loan merupakan hal yang umum terjadi. Dan berikut adalah beberapa alasannya.

  • Murah untuk dieksekusi - ini adalah serangan yang paling mudah dan terjangkau untuk dilakukan pada protokol DeFi. Peretas hanya membutuhkan akses ke kumpulan likuiditas untuk meminjam dana tanpa jaminan. Siapa pun dapat dengan mudah melakukan flash loan attack.

  • Perdagangan arbitrase - mengeksploitasi harga aset yang berfluktuasi di bursa kripto membuat flash loan attack menjadi hal yang umum. Keberadaan ratusan bursa membuat hampir tidak mungkin untuk menentukan harga aset kripto yang sebenarnya.

  • Tingkat keberhasilan saat ini - tingkat keberhasilan flash loan attack menunjukkan seberapa sukses serangan tersebut dapat dieksekusi. Sejak 2021, peretas telah mendapatkan jutaan Dolar AS dari flash loan attack dalam waktu singkat.

Apakah flash loan attack akan berhenti?

Seperti serangan berbahaya lainnya dalam industri kripto, flash loan attack tidak mungkin berhenti. Namun, langkah-langkah dapat dilakukan untuk mengurangi risikonya.

Desain dan pengenalan alat deteksi canggih dapat menjadi pergeseran paradigma untuk protokol DeFi. Alat-alat ini dapat secara efisien mendeteksi pergerakan yang tidak biasa dalam protokol dan segera memberi tahu tim pengembang.


Pertanyaan yang sering diajukan

Apa yang dimaksud dengan serangan Flash Loan?

Serangan pinjaman Flash mengeksploitasi kontrak pintar protokol DeFi dengan meminjam dana dalam jumlah besar tanpa jaminan. Dan tanpa rencana untuk membayar kembali.

Apakah serangan Flash Loan itu nyata?

Ya, flash loan attack itu nyata. Peretasan PancakeBunny, Cream Finance, Alpha Amora, dan Platypus Finance adalah contoh utama dari flash loan attack. Protokol-protokol tersebut menimbulkan kerugian finansial.

Apa saja langkah-langkah dalam serangan Flash Loan?

Peretas memulai dengan meminjam dana dari protokol tertentu, mengerahkan keahlian untuk memanipulasi pasar, dan akhirnya membuang token. Langkah-langkah ini telah menyebabkan crash pada beberapa protokol DeFi.

Penafian
Konten ini disediakan hanya untuk memberi informasi dan mungkin mencakup produk yang tidak tersedia di wilayah Anda. Konten ini tidak dimaksudkan untuk memberikan (i) nasihat investasi atau rekomendasi investasi; (ii) penawaran atau ajakan untuk membeli, menjual, atau memiliki aset digital, atau (iii) nasihat keuangan, akuntansi, hukum, atau pajak. Kepemilikan aset digital, termasuk stablecoin dan NFT, memiliki risiko tinggi, sangat fluktuatif. Anda harus mempertimbangkan apakah trading atau kepemilikan aset digital merupakan hal yang tepat bagi Anda dan kondisi keuangan Anda. Silakan berkonsultasi dengan pakar hukum/pajak/investasi jika ada pertanyaan tentang kondisi tertentu. Informasi (termasuk data pasar dan informasi statistik, jika ada) yang tertulis dalam postingan ini hanya untuk memberi pengetahuan umum. Meskipun data dan grafik ini telah dipersiapkan dengan cermat, kami tidak bertanggung jawab jika ada kesalahan fakta atau kelalaian yang ditemukan di sini. OKX Web3 Wallet dan Pasar OKX NFT tunduk pada ketentuan layanan tersendiri di www.okx.com.
© 2024 OKX. Anda boleh memproduksi ulang atau mendistribusikan artikel ini secara keseluruhan atau menggunakan kutipan 100 kata atau kurang untuk tujuan nonkomersial. Jika Anda memproduksi ulang atau mendistribusikan artikel secara keseluruhan, Anda harus menyatakan dengan jelas: “Artikel ini © 2024 OKX dan digunakan dengan izin”. Kutipan terizinkan harus mencantumkan nama artikel dan menyertakan atribusi. Contoh: “Nama Artikel, [nama penulis jika memungkinkan], © 2024 OKX”. Karya derivatif atau penggunaan lain dari artikel ini tidak diperbolehkan.
Perluas
Artikel Terkait
Lihat Selengkapnya
Lihat Selengkapnya
Daftar ke OKX