Curve Finance Berikan Imbalan Rp4 Miliar untuk Penemu Kerentanan Sistem Perusahaan
JAKARTA - Baru-baru ini, Curve Finance, platform keuangan terdesentralisasi (DeFi) yang terkemuka, memberikan penghargaan sebesar $250 ribu (sekitar Rp 4.063.750.000) kepada Marco Croc dari Kupia Security, seorang peneliti keamanan yang menemukan kerentanan kritis dalam sistem mereka.
Kerentanan reentrancy yang ditemukan oleh Marco Croc berpotensi memungkinkan peretas untuk memanipulasi saldo dan menarik dana dari kolam likuiditas Curve Finance. Mengingat risiko yang ditimbulkan, Curve Finance dengan cepat melakukan investigasi menyeluruh dan memberikan penghargaan bug bounty maksimum kepada peneliti tersebut sebagai bentuk apresiasi atas kontribusinya yang signifikan.
Meskipun kerentanan ini diklasifikasikan sebagai “tidak terlalu berbahaya,” Curve Finance mengakui bahwa insiden keamanan, tidak peduli seberapa kecil, dapat menimbulkan kepanikan di kalangan pengguna. Oleh karena itu, penghargaan ini juga bertujuan untuk mendorong etika peretasan yang bertanggung jawab dan memperkuat pertahanan protokol terhadap eksploitasi di masa depan.
Upaya Pemulihan Pasca-Serangan
Penghargaan ini merupakan bagian dari upaya pemulihan Curve Finance setelah serangan senilai $62 juta pada bulan Juli. Dalam rangka memulihkan kepercayaan dan aset para penyedia likuiditas, protokol ini baru-baru ini mengadakan pemungutan suara untuk mengganti $49,2 juta (sekitar Rp 799.644.000.0001) aset yang hilang. Keputusan ini didukung oleh 94% pemegang token Curve DAO (CRV), yang mencakup kerugian di beberapa kolam, termasuk JPEG’d (JPEG), Alchemix (ALCX), dan Metronome (MET).
Rencana penggantian ini melibatkan penggunaan token CRV dari dana komunitas, serta mempertimbangkan token yang berhasil dipulihkan sejak insiden tersebut. Hasilnya, distribusi akhir sebesar 55.544.782,73 CRV akan dilakukan, dengan jumlah Ethereum (ETH) dan CRV yang akan dipulihkan dihitung sebagai 5.919,2226 ETH dan 34.733.171,51 CRV.
Dilansir Cryptonews, kerentanan yang dieksploitasi oleh peretas ini menargetkan kolam likuiditas stabil dan terkait dengan versi tertentu dari bahasa pemrograman Vyper. Versi 0.2.15, 0.2.16, dan 0.3.0 dari Vyper ditemukan rentan terhadap serangan reentrancy, yang memungkinkan penarikan dana tanpa izin.