Eksploitasi Terhadap Voltage Finance
Seorang peretas yang terlibat dalam eksploitasi senilai $4,67 juta terhadap protokol peminjaman keuangan terdesentralisasi Voltage Finance pada tahun 2022 telah memindahkan sebagian dari Ether yang dicuri ke Tornado Cash setelah periode hibernasi singkat. Perusahaan keamanan blockchain CertiK menginformasikan dalam sebuah postingan pada 6 Mei di Twitter bahwa 100 Ether, yang setara dengan $182.783 pada harga saat ini, dipindahkan dari alamat berbeda yang awalnya digunakan dalam eksploitasi, namun dapat dilacak kembali ke peretas tersebut.
Metode Eksploitasi
Pada Maret 2022, penyusup berhasil memanfaatkan “fungsi pemanggilan kembali yang terintegrasi” dalam standar token ERC677, yang memungkinkan mereka untuk menguras kolam pinjaman platform melalui serangan reentrancy, menurut keterangan dari CertiK.
Setelah eksploitasi terjadi, Voltage Finance melaporkan bahwa peretas telah mencuri beragam stablecoin dan mata uang kripto lainnya, termasuk USDC, Binance USD (BUSD), wapped Bitcoin, dan token Ethereum.
Upaya Pemulihan
Alamat yang digunakan oleh peretas untuk memperoleh dana ke Tornado Cash telah tidak aktif sejak November, dengan transaksi terakhir tercatat 166 hari yang lalu, berdasarkan data Etherscan. Dalam analisis pasca-mortem terhadap eksploitasi tahun 2022, Voltage Finance menjelaskan bahwa alamat penyerang telah ditandai di Etherscan, dan bursa dilakukan permintaan untuk memblokir transaksi apa pun yang berasal dari alamat tersebut.
Upaya juga dilakukan untuk menghubungi penyerang dan bernegosiasi mengenai imbalan untuk mengembalikan dana yang dicuri. Kolam staking Voltage Finance juga terdampak dalam eksploitasi pada bulan Maret.
Insiden Tambahan dan Kerugian
Dua minggu setelahnya, yakni pada 18 Maret, Voltage Finance kembali menjadi sasaran eksploitasi lain ketika kolam Simple Staking-nya dikompromikan. Dalam insiden itu, total kerugian mencapai $322.000. Dalam analisis pasca-mortem pada 20 Maret, Voltage Finance mengungkapkan mereka menawarkan imbalan sebesar $50.000 kepada penyerang untuk mengembalikan dana, dan mereka mungkin telah mengidentifikasi seorang pengembang yang bekerja di kolam Simple Staking, yang bisa saja terlibat dalam kejadian tersebut.
“Meskipun kami belum bisa memastikan apakah ia adalah peretas, sebagai langkah pencegahan, kami langsung mencabut aksesnya dan melaporkan manfaat ini kepada pihak kepolisian untuk bekerja sama dengan penegak hukum dan bursa terpusat,” ujarnya.
Kerugian Kripto April 2022
Secara keseluruhan, kerugian kripto melonjak hingga 1.163% pada bulan April, dengan sebagian besar disebabkan oleh satu pencurian dompet individu lanjut usia di AS, ketika peretas menggunakan taktik rekayasa sosial yang canggih untuk mencuri 3.520 Bitcoin senilai $330,7 juta. Jika mengabaikan serangan itu, kerugian kripto pada bulan April mencapai $34 juta, meningkat sebesar 21% dibanding bulan Maret.
Namun, bulan itu juga melihat lebih dari $18 juta berhasil dikembalikan ketika para peretas yang melakukan eksploitasi terhadap bursa terdesentralisasi KiloEx, yang merugikan $7,5 juta, mengembalikan semua dana yang dicuri hanya empat hari setelah serangan. Asosiasi ZKsync juga sukses memulihkan token senilai $5 juta yang dicuri dari insiden keamanan pada 15 April yang terkait dengan kontrak distribusi airdrop.
