Apa itu Flash Loan Attack?

Dipublikasikan Pada 27 Jun 2023
Diupdate Pada 25 Apr 2024

Munculnya mata uang kripto dan teknologi blockchain telah menyebabkan munculnya berbagai tren dan teknologi revolusioner. Keuangan terdesentralisasi (DeFi) adalah contoh utamanya. Ditujukan untuk menciptakan ekosistem keuangan yang tanpa izin, terukur, transparan, dan terdesentralisasi, DeFi telah berkembang secara eksponensial. Namun, seperti kebanyakan tren lainnya, ada beberapa masalah yang masih ada. Serangan flash loan adalah salah satunya.

Serangan PancakeBunny - yang menurut laporan, menyebabkan kerugian lebih dari $200 juta - adalah salah satu serangan flash yang paling terkenal belakangan ini. Artikel ini akan membahas flash loan attack, kasus-kasus yang paling terkenal, dan bagaimana cara mencegahnya.

Apa itu flash loan?

Flash

Flash loan adalah pinjaman tanpa agunan yang diberlakukan oleh kontrak pintar. Dipelopori oleh Aave, salah satu platform DeFi terkemuka, mereka tidak memerlukan pemeriksaan kredit, batasan, dan yang lebih penting, tidak ada jaminan.

Secara tradisional, ada dua jenis pinjaman yang ada - aman dan tanpa jaminan. Pinjaman dengan jaminan membutuhkan agunan, pemeriksaan kredit, dan memiliki batas tertentu. Sebaliknya, pinjaman tanpa jaminan tidak memiliki jaminan. Ini berarti siapa pun dapat meminjam sejumlah uang tanpa memberikan aset yang substansial sebagai jaminan. Flash loan tanpa jaminan dan merupakan produk dari ruang DeFi.

Loan

Menurut tim Aave, flash loan adalah pinjaman tanpa agunan pertama di dunia. Dan telah dirancang khusus bagi pengguna dan pengembang untuk meminjam aset tanpa agunan dengan lancar dan instan. Flash loan memberikan peluang yang sangat baik untuk perdagangan arbitrase.

Perdagangan arbitrase memungkinkan para pedagang untuk mengeksploitasi perbedaan harga aset di beberapa bursa kripto. Sebagai contoh, jika harga token adalah $10 di Exchange X dan $13 di Exchange Y, seorang pengguna dapat memanfaatkan flash loan untuk meminjam $1.000 untuk membeli 100 token dari Exchange X. Kemudian menjualnya kepada orang lain di Exchange Y dengan harga $1.300.

Apa yang dimaksud dengan flash loan attack?

Attack

Serangan flash loan secara eksplisit mengeksploitasi kontrak pintar platform DeFi di mana aktor jahat meminjam sejumlah besar uang tanpa jaminan. Kemudian melanjutkan untuk memanipulasi harga token atau aset di bursa sebelum menjualnya di bursa lain.

Serangan flash loan adalah serangan yang paling umum dan paling murah di industri DeFi. Sejak pertumbuhan tren yang luar biasa beberapa tahun yang lalu, serangan ini telah menjadi masalah yang berulang. Serangannya cepat. Dan ketika aktor jahat mendapatkan pinjaman, mereka segera memulai "aksi jual buatan", yang mengakibatkan penurunan harga aset yang nyata.

Selain aksi jual yang tidak wajar, penyerang menggunakan berbagai tipu muslihat dan skema untuk memanipulasi pasar demi keuntungan mereka. Serangan ini dapat dikoordinasikan dengan cepat dan melewati banyak protokol keamanan DeFi.

Contoh flash loan attack

Serangan Alpha Amora

Dianggap sebagai serangan pinjaman kripto flash paling signifikan di tahun 2021, serangan Alpha Amora dieksekusi di Iron Bank, platform peminjaman milik Cream Protocol. Rekor $37 juta hilang akibat serangan ini.

Aktor jahat tersebut berulang kali meminjam sUSD dari Iron Bank melalui aplikasi terdesentralisasi Alpha Amora (DApp). Serangan tersebut terjadi dalam model dua transaksi di mana peretas meminjamkan sUSD yang dipinjam kembali ke Iron Bank, yang memungkinkan mereka menerima Yearn Synth USD sebagai hadiah. Peretas meminjam 1,8 juta Koin USD dari Aave, menukarnya dengan sUSD menggunakan platform Curve, dan menggunakan sUSD untuk membayar kembali pinjaman di Iron Bank. Tindakan ini memungkinkan mereka untuk terus meminjam dan membayar kembali, menghasilkan lebih banyak cySUSD.

Proses ini diulangi beberapa kali, memungkinkan mereka untuk mencuri dana sebanyak mungkin. Secara keseluruhan, peretas tersebut meminjam total 13 ribu WETH (Wrapped Ethereum), 5,6 juta USDT, 3,6 juta USDC, dan 4,2 juta DAI.

Serangan PancakeBunny

Serangan PancakeBunny yang terkenal pada tahun 2021 pada platform agregator pertanian hasil berbasis BSC memiliki efek yang menghancurkan pada proyek dan pasar. Peretasan tersebut menyebabkan nilai token PancakeBunny turun lebih dari 96%, menjadikannya salah satu serangan pinjaman kripto flash yang paling populer.

Pelaku meminjam BNB dalam jumlah yang cukup besar melalui PancakeSwap, yang digunakan untuk memanipulasi harga pasangan perdagangan USDT/BNB dan BUNNY/BNB. Peretas mencuri sejumlah besar uang melalui manipulasi harga ini, menyebabkan nilai BUNNY turun drastis. Menurut laporan, total $3 juta telah dicuri oleh peretas. Namun, efek dari eksploitasi tersebut bernilai lebih dari $200 juta karena harga token jatuh.

Serangan Cream Finance

Serangan kilat Cream Finance sangat kompleks, mengharuskan pelaku untuk menggunakan banyak skema dan strategi. Dilakukan pada tahun 2021, peretas meminjam $1,5 miliar dari saham brankas Yearn Protocol. Dengan jaminan sebesar $ 2 miliar, pelaku menggandakan nilainya dengan menyumbangkan dana yang dipinjam kembali ke Protokol Yearn.

Serangan Pinjaman Kripto ApeRocket

Serangan flash loan ApeRocket terjadi pada tahun 2021 pada protokol ApeRocket. Serangan tersebut dilakukan dalam dua proses yang terpisah namun saling terkait.

Pertama, peretas meminjam sejumlah besar $CAKE dan $AAVE, yang 99% di antaranya disimpan di brankas ApeRocket. Kedua, pelaku mengirimkan dana ke brankas protokol, menyebabkan proyek mencetak lebih banyak token untuk memperhitungkan dana tambahan yang diterima. Terakhir, peretas membuang token-token tersebut, mengakibatkan kerugian sebesar $1,26 juta dan jatuhnya nilai token Protokol ApeRocket (SPACE) hingga lebih dari 63%.

Serangan Platypus Finance

Pada tahun 2023, protokol Platypus Finance terkena flash loan attack yang dahsyat. Peretas meminjam 44 juta USDC dari protokol Aave, menggunakan dana tersebut untuk staking, dan kemudian meminjam lebih banyak lagi dari Platypus Finance. Aktor tersebut memulai "Penarikan Darurat" pada protokol dan menarik dana yang dipertaruhkan tanpa membayar USDC yang dipinjam.

Peretas segera menarik dana yang dipertaruhkan dengan memicu fungsi darurat. Serangan ini, tidak seperti kebanyakan serangan lainnya, diaktifkan oleh kerentanan dalam fungsi staking platform. Sistem gagal memeriksa status peretas sebelum penarikan diproses. Lebih dari $8,5 juta hilang dalam serangan ini.

Cara mencegah flash loan attack

Dengan meningkatnya jumlah flash loan attack, jelaslah bahwa tidak ada solusi tunggal yang berhasil untuk masalah ini. Hanya ada beberapa langkah signifikan yang dapat diambil untuk membatasi, meskipun pada tingkat yang lebih rendah, serangan ini. Langkah-langkah tersebut adalah

Memanfaatkan alat deteksi

Salah satu alasan utama terjadinya flash loan attack adalah karena lambatnya waktu respons pengembang platform DeFi. Namun, hanya mungkin untuk mengidentifikasi flash loan attack setelah serangan itu terjadi. Hal ini menyoroti perlunya alat deteksi.

Alat-alat ini dirancang untuk memungkinkan pengembang dan manajer proyek mendeteksi eksploitasi kontrak pintar dan aktivitas pengguna yang tidak umum lainnya. Deteksi yang dipercepat memungkinkan pengembang untuk bertindak cepat dan menetralkan peretasan hingga tingkat tertinggi. Sebagian besar protokol DeFi telah memasang lusinan alat keamanan siber ini untuk mengurangi serangan berbahaya ini.

Menggunakan Oracle terdesentralisasi untuk mendapatkan harga

Memanfaatkan Oracle terdesentralisasi untuk data harga adalah cara lain yang efisien untuk mencegah flash loan attack. Oracle seperti ChainLink dan Band Protocol adalah dua yang paling banyak dicari di pasar.

Protokol DeFi yang sebelumnya diretas seperti Alpha Amora meluncurkan agregator Oracle tahun lalu dan sejak itu mampu mendeteksi serangan sebelum terjadi.

Dua konfirmasi blok untuk transaksi

Tim peneliti Dragonfly mengusulkan penggunaan dua blok konfirmasi untuk transaksi. Meskipun ini tidak menjamin keamanan yang optimal - karena peretas dapat melancarkan serangan pada kedua blok tersebut - ini berfungsi sebagai alat manajemen risiko, karena membantu mengurangi dan sepenuhnya menghalau flash loan attack.

Pemutus arus

Cara lain yang tepat waktu untuk mencegah flash loan attack adalah dengan menonaktifkan pergerakan dana dalam jumlah besar, sehingga menyulitkan para pelaku untuk memanipulasi pasar dengan mudah.

Menerapkan penundaan waktu (kecepatan transaksi per detik) dan meningkatkan biaya pemrosesan flash loan adalah cara halus lainnya untuk membersihkan industri dari para pelaku dan tindakan jahat.

Mengapa flash loan attack sering terjadi?

Serangan flash loan merupakan hal yang umum terjadi. Dan berikut adalah beberapa alasannya.

  • Murah untuk dieksekusi - ini adalah serangan yang paling mudah dan terjangkau untuk dilakukan pada protokol DeFi. Peretas hanya membutuhkan akses ke kumpulan likuiditas untuk meminjam dana tanpa jaminan. Siapa pun dapat dengan mudah melakukan flash loan attack.

  • Perdagangan arbitrase - mengeksploitasi harga aset yang berfluktuasi di bursa kripto membuat flash loan attack menjadi hal yang umum. Keberadaan ratusan bursa membuat hampir tidak mungkin untuk menentukan harga aset kripto yang sebenarnya.

  • Tingkat keberhasilan saat ini - tingkat keberhasilan flash loan attack menunjukkan seberapa sukses serangan tersebut dapat dieksekusi. Sejak 2021, peretas telah mendapatkan jutaan Dolar AS dari flash loan attack dalam waktu singkat.

Apakah flash loan attack akan berhenti?

Seperti serangan berbahaya lainnya dalam industri kripto, flash loan attack tidak mungkin berhenti. Namun, langkah-langkah dapat dilakukan untuk mengurangi risikonya.

Desain dan pengenalan alat deteksi canggih dapat menjadi pergeseran paradigma untuk protokol DeFi. Alat-alat ini dapat secara efisien mendeteksi pergerakan yang tidak biasa dalam protokol dan segera memberi tahu tim pengembang.

Pertanyaan yang sering diajukan

Apa yang dimaksud dengan serangan Flash Loan?

Serangan pinjaman Flash mengeksploitasi kontrak pintar protokol DeFi dengan meminjam dana dalam jumlah besar tanpa jaminan. Dan tanpa rencana untuk membayar kembali.

Apakah serangan Flash Loan itu nyata?

Ya, flash loan attack itu nyata. Peretasan PancakeBunny, Cream Finance, Alpha Amora, dan Platypus Finance adalah contoh utama dari flash loan attack. Protokol-protokol tersebut menimbulkan kerugian finansial.

Apa saja langkah-langkah dalam serangan Flash Loan?

Peretas memulai dengan meminjam dana dari protokol tertentu, mengerahkan keahlian untuk memanipulasi pasar, dan akhirnya membuang token. Langkah-langkah ini telah menyebabkan crash pada beberapa protokol DeFi.

Artikel Terkait
Lihat Selengkapnya
DEX DeFi generic
DeFi
Apa itu Automated Market Maker (AMM) dalam Crypto?
Automated Market maker (AMM) adalah sebuah platform perdagangan mata uang kripto yang terdesentralisasi yang menggunakan smart contracts untuk memungkinkan pertukaran token dan pertukaran nilai. Tidak
25 Apr 2024
trade-academy-spot-3
Altcoin
DeFi
Panduan komprehensif untuk berbagai jenis airdrop kripto
Dalam sejarahnya, industri mata uang kripto telah berkembang menjadi salah satu industri yang paling berkembang di dunia. Sama seperti industri yang sedang berkembang lainnya, proyek-proyek baru dan m
25 Apr 2024
Forward Contracts vs. Futures Contracts What Are the Differences
Blockchain
DeFi
Apa yang dimaksud dengan Oracle Blockchain?
Teknologi Blockchain telah mendapatkan popularitas yang signifikan dalam beberapa tahun terakhir karena berpotensi merevolusi berbagai industri. Tetapi agar blockchain dapat bekerja secara efektif, di
25 Apr 2024
Crypto Faucet What Is It and How Does It Work
GameFi
Crypto Faucet: Apa itu dan bagaimana cara kerjanya?
Faucet kripto adalah platform online yang memberi pengguna sejumlah kecil mata uang kripto sebagai imbalan untuk menyelesaikan tugas-tugas kecil. Ide di balik keran kripto adalah untuk memperkenalkan
25 Apr 2024
Forward Contracts vs. Futures Contracts What Are the Differences
NFT
Panduan pemula tentang cara mencetak NFT dengan Stable Diffusion
# Panduan pemula tentang __cara mencetak NFT__ dengan __Stable Diffusion__ __Kecerdasan Buatan__ (AI) telah berkembang pesat selama beberapa tahun terakhir. Pada akhir 2022 dan awal 2023, ChatGPT meng
25 Apr 2024
trade-academy-beginner-4
Keamanan
Self-Custody
Paper Wallets: Apa itu dan bagaimana cara kerjanya?
Dalam hal menyimpan kripto dengan aman, sangat disarankan untuk menarik koin kamu dari bursa dan menyimpannya di dompet pribadi, karena industri kripto memiliki pepatah — bukan kunci mu, bukan koin mu
25 Apr 2024
Lihat Selengkapnya