Serangan Arbitrum Bikin WOOFi Rugi Rp137 Miliar, Begini Kronologinya
JAKARTA - Platform keuangan terdesentralisasi (DeFi) WOOFi mengalami serangan siber pada 5 Maret 2024 yang menargetkan fitur swap-nya di jaringan Arbitrum. Kejadian itu mengakibatkan kerugian sekitar Rp137 miliar (8,75 juta dolar AS) dalam aset kripto.
Platform WOOFi mengatakan pihaknya telah menginisiasi upaya untuk memulihkan dana tersebut dan telah menawarkan ganjaran whitehat sebesar 10 persen kepada pelaku serangan. Selain itu, ada juga hadiah bagi Arkham Intelligence bagi siapa pun yang memberikan informasi tambahan.
Kronologi Serangan
Berdasarkan laporan pasca-mortem yang dikutip dari Crypto Potato, algoritma sPMM yang mengatur penetapan harga di WOOFi Swaps dimanfaatkan di Arbitrum. Serangan itu melibatkan serangkaian pinjaman flash yang memanfaatkan likuiditas rendah untuk memanipulasi harga WOO, token asli platform WOOFi, memungkinkan pelaku serangan untuk melunasi pinjaman dengan biaya yang lebih rendah.
Pelaku serangan meminjam sekitar 7,7 juta WOO dan aset lainnya, menjual token tersebut di WOOFi. Tindakan ini menyebabkan sPMM WOOFi secara tidak akurat menyesuaikan harga WOO menjadi sangat rendah, memungkinkan pelaku serangan untuk menukarkan 10 juta WOO dalam satu transaksi dengan biaya yang hampir gratis.
Baca juga:
Pelaku serangan mengulangi serangan ini tiga kali dalam waktu singkat, menghasilkan keuntungan sekitar Rp137 miliar (8,75 juta dolar AS) setelah melunasi pinjaman flash. WOOFi mengungkapkan bahwa sPMM dalam versi keduanya dirancang untuk menggantikan harga orakel dengan mempertimbangkan nilai notional perdagangan pengguna untuk mengatur slippage dan menjaga keseimbangan kolam.
Namun, glitch menyebabkan deviasi yang luas dari rentang yang diharapkan (0,00000009 dolar AS), dan pemeriksaan cadangan, biasanya dieksekusi terhadap Chainlink, tidak termasuk harga token WOO.
Penyebab dan Dampak Serangan
WOOFi juga mengatakan bahwa sPMM-nya tidak pernah mengalami insiden sejak diperkenalkan kembali pada tahun 2021, terutama karena “pendekatan konservatif” terhadap penambahan aset baru. Proses pendaftaran ketat platform ini membuat eksploitasi dengan aset utama seperti ETH hampir tidak mungkin.
Namun, platform menyalahkan pengenalan baru-baru ini pasar pinjaman untuk WOO di Arbitrum, yang dipasangkan dengan dukungan likuiditas yang relatif terbatas untuk token WOO di tempat lain di jaringan, yang membuat eksploitasi itu secara ekonomis memungkinkan.
Sementara WOOFi Swap beroperasi di lebih dari sepuluh jaringan, tidak ada jaringan lain selain Arbitrum yang menampilkan token WOO dan pasar pinjaman WOO, yang efektif menghambat replikasi serangan yang sama di jaringan alternatif.
Serangan ini menimbulkan kerugian bagi pengguna WOOFi yang memiliki aset kripto di platform tersebut. Selain itu, serangan ini juga menurunkan kepercayaan publik terhadap platform DeFi dan jaringan Arbitrum, yang merupakan salah satu solusi skalabilitas untuk Ethereum.
Sementara itu, laporan terbaru oleh CertiK, mengatakan sektor kripto mengalami kerugian sekitar Rp2,5 triliun ($160 juta) pada bulan Februari akibat eksploitasi, peretasan, dan penipuan. Angka-angka ini mencerminkan penurunan kecil dibandingkan dengan Januari meskipun ada lonjakan harga. Di antara kerugian tersebut, pinjaman flash hanya menyumbang Rp2,1 miliar ($138.000).