Analisis Teknis serangan Hacker pada platform DeFi Balancer

Baru-baru ini, sebuah platform Keuangan Desentralisasi yang menarik perhatian karena model "meminjam untuk menambang" mengalami serangan Hacker. Penyerang memanfaatkan celah pada dua kolam token deflasi ERC20, STA dan STONK, menyebabkan kerugian lebih dari 500.000 dolar.

Setelah dianalisis oleh para ahli keamanan, ditemukan bahwa akar masalah terletak pada ketidakcocokan antara token deflasi yang ada di platform dan kontrak pintar mereka dalam kondisi tertentu. Hal ini memungkinkan hacker untuk membuat kolam sirkulasi token yang menyimpang harganya dan mendapatkan keuntungan dari situ.

Proses serangan dibagi menjadi empat langkah utama:

1. Penyerang mendapatkan banyak WETH sebagai pinjaman kilat dari suatu platform.

2. Penyerang secara berulang kali mengeksekusi panggilan swapexactMountin(), sampai sebagian besar token STA yang dimiliki oleh platform target habis, untuk mempersiapkan langkah serangan berikutnya.

3. Dengan memanfaatkan ketidakcocokan antara token STA dan kontrak pintar, yaitu ketidakcocokan dalam pencatatan dan saldo, penyerang berhasil menghabiskan aset lain dalam kolam dana, dan akhirnya meraih keuntungan lebih dari 520.000 dolar AS.

4. Penyerang mengembalikan pinjaman kilat dan mentransfer aset digital yang diperoleh dari serangan.

Pada langkah kedua serangan, penyerang dengan cerdik membuat platform hanya tersisa sedikit STA, yang mengakibatkan lonjakan nilai STA yang tidak normal. Selanjutnya, penyerang memanfaatkan mekanisme biaya transaksi saat mentransfer token, sehingga jumlah STA yang sebenarnya diterima oleh platform tidak cocok dengan pencatatan internal.

Dengan memanggil fungsi gulp() berulang kali untuk mereset pembukuan internal, penyerang dapat terus menukarkan sejumlah kecil STA menjadi banyak aset lainnya, hingga menghabiskan aset seperti WETH, SNX, LINK dalam kolam likuiditas.

Peristiwa ini sekali lagi mengungkapkan risiko kompatibilitas yang ada pada kombinabilitas DeFi. Untuk mencegah serangan serupa, disarankan:

1. Token deflasi harus langsung dibatalkan atau mengembalikan False saat jumlahnya tidak cukup untuk membayar biaya transaksi.

2. Platform Keuangan Desentralisasi harus memeriksa saldo aktual setelah setiap panggilan fungsi transferFrom().

Lebih penting lagi, pengembang proyek DeFi harus mengadopsi standar kode yang baik dan melakukan pengujian keamanan menyeluruh sebelum peluncuran. Selain itu, pemeriksaan kompatibilitas yang memadai terhadap berbagai standar token dan perilaku kombinasi proyek DeFi juga sangat penting.

Serangan ini menyebabkan kerugian sekitar 523.000 dolar AS, melibatkan berbagai aset digital. Ini tanpa diragukan lagi akan berdampak pada seluruh ekosistem Keuangan Desentralisasi, dan juga mengingatkan para pengembang untuk sangat memperhatikan keamanan kontrak pintar. Seiring dengan perkembangan cepat di bidang Keuangan Desentralisasi, kejadian keamanan serupa mungkin akan terus terjadi, sehingga memperkuat kesadaran keamanan dan pencegahan teknis menjadi sangat penting.