Beberapa proyek DeFi mengalami insiden peretasan yang menargetkan kontrak pintar, jembatan lintas-rantai, dan tata kelola terdesentralisasi pada 7, 9, dan 10 Juni (waktu setempat). DEX berbasis Solana Raydium kehilangan sekitar 1,3 juta dolar AS, protokol pinjaman Ethereum NovaBox kehilangan 56,7 ETH, jembatan Syscoin melihat 5 miliar token SYS dicetak secara ilegal, platform MILC kehilangan 161.000 dolar AS, dan AragonDAO kehilangan 944,2 wETH senilai 1,5 juta dolar AS. Metode serangan berkembang melewati kerentanan kode sederhana hingga mencakup pencurian hak istimewa admin dan pengambilalihan tata kelola. Perusahaan keamanan blockchain mencatat insiden ini menyoroti risiko keamanan struktural di seluruh ekosistem DeFi.
Raydium DEX Kehilangan $1,3 Juta karena Serangan Legacy Pool
Pada 10 Juni (waktu setempat), DEX terdesentralisasi berbasis Solana Raydium mengalami serangan yang menargetkan kumpulan automated market maker (AMM) warisan (legacy), yang mengakibatkan sekitar 1,3 juta dolar AS dana dicuri. Proyek menyatakan kerusakan terbatas pada beberapa kumpulan legacy dan mengumumkan rencana untuk mengompensasi kerugian pengguna menggunakan dana kas proyek.
NovaBox Protocol Mengalami Eksploit Flash Loan
Protokol pinjaman berbasis Ethereum NovaBox diserang melalui eksploit flash loan. Menurut perusahaan keamanan blockchain F12, penyerang mencuri sekitar 56,7 ETH dengan mengeksploitasi kerentanan pada struktur setoran dan distribusi imbalan. Penyerang menggunakan jumlah modal besar yang diamankan melalui flash loan untuk menerima lebih banyak dividen daripada hak yang sebenarnya, menguras sebagian besar aset di kumpulan likuiditas. F12 menyatakan dalam unggahan media sosial bahwa serangan tersebut melibatkan "tanpa reentrancy, tanpa overflow, murni kelemahan desain ekonomi" dan bahwa "99,86% aset kumpulan hilang dalam satu tx."
Insiden Jembatan Syscoin Berujung pada Pencetakan 5 Miliar SYS
Proyek blockchain layer-1 Syscoin mengalami eksploit kerentanan jembatan yang mengakibatkan pencetakan ilegal 5 miliar token SYS pada 7 Juni. Proyek menyatakan pihaknya mendeteksi transaksi abnormal lebih awal dan memindahkan sebagian besar pasokan ke alamat pemulihan. Syscoin mengumumkan menghentikan operasi jembatan dan saat ini menerapkan patch keamanan. Proyek memposting di media sosial bahwa "jembatan Syscoin saat ini dihentikan sementara tim menyelidiki, menyelesaikan perbaikan."
Kunci Admin MILC Platform Dibobol hingga $161K Loss
Proyek aset digital yang berfokus media MILC Media Metaverse Platform mengalami insiden jembatan akibat pencurian hak istimewa admin. Menurut F12, penyerang mengeksploitasi dompet administrator jembatan yang sudah ada untuk memberikan hak istimewa admin ke externally owned account (EOA) milik mereka sendiri, lalu mengekstrak MLT (Media License Token) dari kontrak jembatan dan mentransfer kontrol admin ke dompet mereka. F12 mengidentifikasi akar penyebab sebagai "kompromi private-key admin, bukan bug kontrak" dan memperkirakan kerugian sekitar 161.000 dolar AS.
Eksploit Tata Kelola AragonDAO Menguras $1,5 Juta
Serangan peretasan yang mengeksploitasi kerentanan pada pengaturan tata kelola AragonDAO mengakibatkan pencurian 944,2 wETH (Ethereum yang dibungkus) senilai 1,5 juta dolar AS (sekitar 2,29 miliar KRW). Menurut perusahaan keamanan blockchain BlockSec Phalcon, penyerang memiliki lebih dari 50% token tata kelola TOP (Token of Power) dan mengeksploitasi kelemahan struktural untuk mencetak ilegal 10 miliar token TOP, lalu menukar 1 miliar TOP dengan wETH. BlockSec Phalcon menyatakan penyerang "memperoleh lebih dari 50% kekuatan voting TOP, karena nilai pasar token yang rendah, dan menggunakannya untuk menyetujui serta mengeksekusi proposal tata kelola" pada 9 Juni.
Chainalysis Mengeluarkan Peringatan atas Alat Serangan Berbasis AI
Chainalysis mengeluarkan laporan pada 9 Juni (waktu setempat) yang menyatakan bahwa "penyebaran alat analisis berbasis kecerdasan buatan (AI) secara signifikan menurunkan tingkat kesulitan untuk menyerang kontrak pintar yang belum terverifikasi." Perusahaan itu mendiagnosis bahwa "jika proyek DeFi tidak memperkuat pengungkapan kode, audit keamanan, dan sistem otoritas terdesentralisasi, insiden keamanan dapat terulang."
FAQ
Jenis kerentanan apa yang dieksploitasi penyerang dalam insiden peretasan DeFi terbaru?
Penyerang mengeksploitasi kerentanan kumpulan legacy AMM di Raydium, kelemahan desain ekonomi flash loan di NovaBox, kelemahan kontrak jembatan di Syscoin, private key admin yang dibobol di platform MILC, dan konsentrasi token tata kelola di AragonDAO. Insiden terjadi pada 7, 9, dan 10 Juni (waktu setempat) di beberapa platform blockchain.
Berapa total nilai yang dicuri di seluruh serangan DeFi yang dilaporkan?
Insiden yang dilaporkan mengakibatkan sekitar 1,3 juta dolar AS dicuri dari Raydium, 56,7 ETH dari NovaBox, 161.000 dolar AS dari platform MILC, dan 1,5 juta dolar AS dari AragonDAO. Token SYS yang dicetak ilegal 5 miliar milik Syscoin sebagian besar dipulihkan ke alamat yang dikendalikan proyek, menurut pernyataan proyek.
Langkah keamanan apa yang direkomendasikan Chainalysis dalam laporannya pada 9 Juni?
Chainalysis menyatakan dalam laporan 9 Juni bahwa proyek DeFi harus memperkuat pengungkapan kode, audit keamanan, dan sistem otoritas terdesentralisasi. Perusahaan tersebut mencatat bahwa alat analisis berbasis AI telah menurunkan hambatan untuk menyerang kontrak pintar yang belum terverifikasi.
