Headline24jam.com – Protokol DeFi Abracadabra mengalami kehilangan mencapai $1,8 juta pada 4 Oktober 2023 setelah sebuah serangan yang memanfaatkan kesalahan logika sederhana dalam fungsi batch-nya. Penyerang berhasil melewati pengaman untuk meminjam token MIM tanpa kolateral dan kemudian mencuci dana melalui Tornado Cash, menurut analisis dari perusahaan keamanan blockchain Hacken.
Rincian Serangan
Abracadabra, yang berfungsi sebagai protokol pinjaman DeFi, memungkinkan pengguna untuk meminjam stablecoin MIM dengan menggunakan token yang disetorkan sebagai kolateral. Dalam serangan terbaru ini, penyerang menghabiskan enam Cauldron secara bersamaan, menguras total sekitar 1,79 juta MIM sebelum menukarnya menjadi Ethereum (ETH).
Kesalahan Logika
Masalah berakar dari hilangnya pengaturan keamanan yang seharusnya mengecek kelayakan kolateral peminjam. Menurut laporan Hacken, penyerang dapat memanfaatkan fungsi cook() untuk meminjam token MIM dan kemudian mematikan bendera pengecekan solvabilitas. Ini mengakibatkan pinjaman tanpa kolateral yang berhasil dilakukan dalam satu transaksi.
Prosedur Peminjaman yang Rentan
Protokol ini menggunakan fungsi batch yang memungkinkan pengguna melakukan beberapa tindakan dalam satu transaksi. Salah satu tindakan yang disebut “borrow” mengatur bendera needsSolvencyCheck menjadi true. Namun, sebuah fungsi lain yang seharusnya tetap berfungsi justru tidak pernah diimplementasikan, sehingga menghasilkan nilai default yang menyebabkan bendera tersebut kembali ke status false.
Penanganan oleh Forked Project
Menariknya, sebelum serangan ini terjadi, proyek yang terfork dari Abracadabra, Synnax, telah secara proaktif menghentikan atau mengubah pengaturan CauldronV4-nya setelah mengidentifikasi pola kelemahan yang sama. Ini menunjukkan bahwa celah tersebut sudah terlihat oleh pengembang lain yang menjaga kode mereka.
Upaya Pencucian Dana
Setelah berhasil menukar MIM, penyerang mengalihkan dana melalui Tornado Cash, mengirimkan sejumlah 10 ETH secara bertahap selama periode satu hari untuk meninggalkan jejak yang lebih sulit dilacak.
Insiden ini menunjukkan pentingnya pengawasan dan keamanan yang lebih baik dalam pengembangan protokol DeFi, terutama saat berurusan dengan kode yang kompleks dan berisiko tinggi.
About the Author
