Platform Defi Cream Finance Dibobol Hacker, 29 Juta Dolar Raib!
JAKARTA – Cream Finance dikabarkan telah diretas dan harus kehilangan 29 juta dolar AS (setara Rp414 miliar). Peretas berhasil masuk lewat celah ketika platform hendak menambahkan token Amp ke protokol. Kejadian ini merupakan yang kedua setelah pada Februari lalu Cream Finance diretas dan menyebabkan lenyapnya uang senilai 37,5 juta dolar AS (Rp535 miliar).
Protokol Cream yang merupakan platform pinjaman tersedia dalam empat rantai berbeda yakni Ethereum, Binance Smart Chain, Polygon, dan Fantom. Peretasan tersebut terjadi pada hari Senin 30 Agustus lalu. Hacker berhasil masuk lewat bug saat token Amp dimasukkan ke dalam protokol sebagaimana dilaporkan Bitcoin.com.
Perusahaan keamanan blockchain dan analitik data, Peckshield menyebutkan bahwa aksi hacking tersebut dilakukan dalam satu transaksi dengan memanfaatkan bug reentrancy yang terdapat dalam kode kripto Amp.
Aksi tersebut memungkinkan peretas melakukan pinjaman aset ketika transfer sebelum memperbarui pinjaman pertama. Aktivitas tersebut dilakukan selama 17 kali sehingga peretas bisa menggondol 418.311.571 Amp senilai 25,1 juta dolar AS (Rp358 miliar) ditambah dengan 1.308,09 Ethereum seharga 4,15 juta dolar AS (setara Rp59 miliar).
Meski demikian, platform Cream sudah diaudit oleh perusahaan riset dan konsultan keamanan siber Trails of Bits sebelum memasukkan token Amp. Pihak Cream memaparkan bahwa mereka menghentikan eksploitasi dengan menyetop suplai dan peminjaman Amp.
Baca juga:
Selain itu, Cream juga mengaku telah mengabarkan para penggunanya dan tidak ada market laun yang terdampak. Para penguna juga diharapkan untuk menawarkan laporan post mortem dalam beberapa waktu mendatang. Peretasan tersebut merupakan yang kedua setelah kejadian di bulan Februari lalu.
Saat itu platform Cream mengalami insiden peretasan yang mengakibatkan hilangnya uang senilai 37,5 juta dolar AS atau sekitar Rp535 miliar. Aksi peretasan tersebut memanfaatkan versi kontrak Alpha Finance, sebuah platform DeFi lain yang belum diluncurkan. Peretas melakukan eksploitasi dalam kesalahan perhitungan pembulatan dalam kode dan fungsi whitelist. Setelah berhasil menggondol uang, peretas mengirimnya ke Tornado.cash, protokol yang memungkinkan transaksi pribadi di jaringan Ethereum.
Beruntung, dana pengguna platform Cream tidak terkena dampaknya. Meski begitu, hal ini membuktikan bahwa dunia DeFi sangat kompleks, bahkan perubahan kecil dalam protokol sekalipun seperti penambahan mata uang kripto dalam platform bisa berimbas pada sistem keamanan dalam beberapa waktu yang akan datang.