Berita Exchange · 8 min read

Rp5,5 Miliar Hangus! Flash Loan Nereus Dieksploitasi

Flash Loan

Pemberi pinjaman protokol Nereus Finance yang berada di blockchain Avalanche telah menjadi korban peretasan dengan menggunakan eksploitasi smart contract untuk mendapatkan USD Coin (USDC) senilai $371.000 atau setara Rp5,5 miliar.

Scammer melakukan custom pada smart contract untuk memanipulasi pool price AVAX/USDC dengan memanfaatkan fitur flash loan.

Eksploitasi pertama dideteksi oleh Perusahaan keamanan siber Blockchain CertiK pada 6 September. Serangan tersebut berdampak terhadap aset dan liquidity pool , yaitu Nereus, decentralized exchange Trader Joe, Curve Finance.

Kecerdikan Scammer Melalui Smart Contract

Nereus Finance juga merilis detail kejadian dari insiden yang menjelaskan bahwa seorang “pengeksploitasi” dapat menerapkan smart contract khusus untuk menggunakan pinjaman kilat senilai $51 juta dari Aave untuk memanipulasi AVAX/USDC Trader Joe LP (JLP) secara tiruan dari harga kumpulan untuk satu blok.

Akibatnya, hacker anonim berhasil mencetak NXUSD token asli Nereus senilai 998.000 dengan jaminan senilai $508.000. Lalu, kemudian menukar modal ini menjadi aset yang berbeda melalui berbagai kumpulan likuiditas dan berhasil mendapatkan keuntungan bersih sebesar $371.406.

Insiden itu berakhir dengan terciptanya $500.000 dari “bad debt” NXUSD dalam protokol NXUSD, dan Bad debt (Piutang tak tertagih) akan segera dilunasi menggunakan NXUSD dari tim kas.

Tim juga mengatakan akan segera untuk memperbaiki situasi ini, setelah berkonsultasi dengan pakar keamanan, mengembangkan rencana mitigasi, dan memberi tahu penegak hukum, mereka melikuidasi dan menghentikan pasar JLP yang dieksploitasi.

Nereus Akan Lebih Hati-Hati Lagi

Menurut Nereus, eksploitasi tersebut terjadi karena adanya “langkah yang terlewatkan” dalam perhitungan harga, sehingga membuka peluang untuk dieksploitasi. Namun, ditekankan bahwa “tidak ada dana pengguna yang berisiko, dan NXUSD terus dijamin berlebihan” dan “Protokol Pinjam Meminjam tidak terpengaruh oleh eksploitasi ini.”

Nereus juga yakin kejadian eksploitasi seperti ini tidak akan dating untuk kedua kalinya, karena tim keamanan akan segera mengubah audit dan keamanannya untuk memastikan peristiwa jenis ini tidak terjadi di masa mendatang dengan catatan:

“Meskipun eksploitasi ini adalah insiden yang buruk. Tidak jarang protokol untuk menghadapi jenis tes pertempuran ini.”

Pada saat penulisan, tim Nereus terus berusaha untuk mengidentifikasi peretas dan melacak dana, serta menawarkan hadiah White Hat 20% untuk pengembalian dana.

Terlepas dari eksploitasi flash loan yang baru-baru ini terjadi dan beberapa insiden penting lainnya sepanjang tahun. Syukurnya serangan semacam ini telah mengalami penurunan secara signifikan, menurut laporan bulanan dari Skynet CertiK.

Baca juga: Proyek DeFi Ini Kena Serangan Flash Loan! Kehilangan Rp7,2 Miliar

Disclaimer

Konten baik berupa data dan/atau informasi yang tersedia pada Coinvestasi hanya bertujuan untuk memberikan informasi dan referensi, BUKAN saran atau nasihat untuk berinvestasi dan trading. Apa yang disebutkan dalam artikel ini bukan merupakan segala jenis dari hasutan, rekomendasi, penawaran, atau dukungan untuk membeli dan menjual aset kripto apapun.

Perdagangan di semua pasar keuangan termasuk cryptocurrency pasti melibatkan risiko dan bisa mengakibatkan kerugian atau kehilangan dana. Sebelum berinvestasi, lakukan riset secara menyeluruh. seluruh keputusan investasi/trading ada di tangan investor setelah mengetahui segala keuntungan dan risikonya.

Gunakan platform atau aplikasi yang sudah resmi terdaftar dan beroperasi secara legal di Indonesia. Platform jual-beli cryptocurrency yang terdaftar dan diawasi BAPPEBTI dapat dilihat di sini.

author
Nabiila Putri Caesari

Editor

arrow

Terpopuler

Loading...
Loading...
Loading...
Loading...
Loading...

#SemuaBisaCrypto

Belajar aset crypto dan teknologi blockchain dengan mudah tanpa ribet.

Coinvestasi Update Dapatkan berita terbaru tentang crypto, blockchain, dan web3 langsung di inbox kamu.