Perjanjian keuangan terdesentralisasi Rhea Finance mengalami kerentanan keamanan besar pada 16 April; perusahaan keamanan blockchain CertiK memperkirakan kerugian sekitar 7,6 juta dolar. Pelaku melakukan manipulasi dengan membuat kontrak token palsu dan menyuntikkan dana ke kumpulan likuiditas yang baru dibentuk, menyesatkan oracle dan mekanisme verifikasi protokol, sehingga berhasil menarik dana. CertiK telah mengidentifikasi alamat di rantai yang terlibat, dan investigasi masih berlangsung.
Mekanisme serangan: kombinasi tipuan kontrak token palsu dan kumpulan likuiditas
(Sumber: NearBlocks)
Berdasarkan analisis awal CertiK, jalur teknis serangan kali ini mencakup dua langkah kunci. Pelaku pertama-tama menerapkan kontrak token palsu, lalu menyuntikkan dana ke kumpulan likuiditas yang baru dibuat, menciptakan ilusi aktivitas transaksi “normal”. Operasi ini menyesatkan lapisan oracle dan verifikasi yang menjadi sandaran protokol Rhea Finance, membuatnya salah menilai nilai aset, sehingga pelaku dapat memanfaatkan celah antara nilai yang dipahami oleh protokol dan nilai aktual untuk menarik dana.
Serangan manipulasi oracle seperti ini merupakan ancaman keamanan yang berulang dalam ekosistem DeFi; mekanisme intinya adalah memutar-mutar sinyal likuiditas yang dibuat-buat atau data harga palsu, sehingga mengganggu penilaian protokol terhadap status aset dan memicu logika transaksi yang seharusnya tidak dieksekusi.
Skala kerugian: 7,6 juta setara hampir 6% dari TVL Rhea Finance
CertiK memperkirakan kerugian kali ini sekitar 7,6 juta dolar, namun seiring pendalaman analisis on-chain, angka tersebut masih dapat berubah. Berdasarkan data DefiLlama, Rhea Finance saat ini memiliki nilai total terkunci (TVL) sekitar 128 juta dolar, yang berarti kerugian akibat celah ini setara sekitar 6% dari total likuiditas platform; dalam satu peristiwa keamanan, ini tergolong menengah hingga cukup serius.
Setelah mencuri dana, pelaku merutekan aset melalui beberapa alamat on-chain; ini adalah metode pembauran yang umum setelah serangan DeFi, dengan tujuan mempersulit pelacakan berikutnya dan pekerjaan pembekuan dana.
Pergerakan dana on-chain bernilai besar pada hari yang sama
Pada hari yang sama dengan peristiwa Rhea Finance, catatan on-chain menyoroti dua perpindahan BTC bernilai besar lainnya:
Pemerintah AS: menyetor 8,2 BTC ke Coinbase Prime (sekitar 606 ribu dolar), aset ini berasal dari aset yang disita terkait peristiwa peretasan Bitfinex
Abraxas Capital: menyetor 1.993 BTC ke Kraken (sekitar 148 juta dolar), melanjutkan pola transaksi bitcoin berskala besar yang dimulai sejak pertengahan Maret
Pertanyaan yang sering diajukan
Apa itu serangan manipulasi oracle, dan bagaimana dampaknya pada protokol DeFi?
Oracle adalah perantara yang digunakan protokol DeFi untuk memperoleh data harga dari luar rantai (off-chain) atau dari dalam rantai (on-chain). Ketika penyerang memasukkan data yang terdistorsi ke oracle melalui kumpulan likuiditas yang dikendalikan secara artifisial atau kontrak token palsu, protokol dapat salah menilai nilai aset. Lalu, protokol akan menjalankan operasi pinjam-meminjam, likuidasi, atau arbitrase berdasarkan harga yang menyimpang, sehingga pelaku dapat mengambil selisih secara bebas risiko. Ini adalah salah satu metode serangan yang paling umum dan terus terjadi dalam sejarah DeFi.
Seberapa serius kerugian Rhea Finance dibanding TVL-nya?
Kerugian 7,6 juta dolar kira-kira setara dengan 5,9% dari TVL Rhea Finance yang sekitar 128 juta dolar, yang termasuk peristiwa keamanan dengan tingkat keparahan menengah. Jika pelaku belum menyelesaikan seluruh pemindahan dana, kerugian aktual mungkin lebih tinggi daripada estimasi awal CertiK. Platform saat ini masih berjalan, tetapi terdapat risiko berkelanjutan yang potensial.
Rhea Finance sampai saat ini belum memberikan respons; bagaimana pengguna yang memegang aset harus menyikapi?
Sebelum tim protokol mengeluarkan respons resmi atau mengonfirmasi bahwa sistem telah menutup celah dengan aman, pengguna yang memegang aset Rhea Finance sebaiknya menilai apakah perlu menarik likuiditas untuk mengurangi risiko. Lakukan pelacakan berkelanjutan terhadap perkembangan on-chain terbaru terkait peristiwa tersebut melalui platform keamanan pihak ketiga seperti CertiK, agar tidak menambah dana sebelum perbaikan celah sepenuhnya terkonfirmasi.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Peneliti Keamanan Mengungkap Kerentanan 0-day CometBFT; Pencurian Aset Langsung Tidak Mungkin
Pesan Berita Gate, 21 April — Peneliti keamanan Doyeon Park mengungkapkan kerentanan 0-day kritis (CVSS 7.1) di CometBFT, lapisan konsensus Cosmos, menurut sebuah unggahan di X. Kelemahan ini dapat menyebabkan node jaringan terhenti saat sinkronisasi blok, mengganggu operasi sistem, tetapi tidak dapat secara langsung mengakibatkan pencurian aset.
GateNews46menit yang lalu
Penipu Polisi Palsu Memaksa Pasangan Prancis Memindahkan Hampir $1M dalam Bitcoin
Penjahat yang menyamar sebagai polisi di Prancis memaksa sepasang suami istri untuk memindahkan hampir $1M dalam Bitcoin, dengan menggunakan rasa takut dan otoritas dalam "serangan kunci pas" yang mengeksploitasi manusia, bukan dompet.
Abstrak: Pelaku menggunakan penyamaran dan pemaksaan psikologis untuk memaksa pemindahan Bitcoin, menyoroti serangan kunci pas yang menargetkan kerentanan manusia alih-alih eksploitasi teknis pada dompet.
GateNews1jam yang lalu
Upaya Perampokan Bersenjata terhadap Profesional Kripto Prancis Digagalkan; Tersangka Ditangkap
Pesan Gate News, 21 April — Seorang profesional industri kripto berusia 40 tahun di Saint-Jean-de-Védas, dekat Montpellier, Prancis, menggagalkan upaya perampokan bersenjata di rumahnya. Pelaku, menyamar sebagai petugas pengantaran, masuk ke tempat tinggal dan menuntut agar korban menyerahkan kunci privat dompet mata uang kripto
GateNews2jam yang lalu
KelpDAO $290M Eksploitasi Dikaitkan dengan Grup Lazarus Korea Utara
LayerZero mengaitkan eksploitasi senilai $290 juta terhadap konfigurasi rsETH lintas rantai KelpDAO kepada Kelompok Lazarus Korea Utara pada 18 April, dengan menyebut pelakunya sebagai “aktor negara yang sangat canggih.” Menurut LayerZero, insiden tersebut terbatas pada pengaturan rsETH KelpDAO dan tidak menyebar ke lainnya
CryptoFrontier2jam yang lalu
Penipu Menyamar sebagai Otoritas Iran Menuntut Pembayaran Bitcoin, USDT dari Kapal di Selat Hormuz
Pesan Berita Gate, 21 April — Penipu yang menyamar sebagai otoritas Iran telah menargetkan perusahaan pelayaran dengan kapal yang terdampar di sebelah barat Selat Hormuz, menuntut pembayaran Bitcoin dan Tether (USDT) sebagai imbalan atas pelayaran yang aman, menurut firma risiko maritim Marisks.
Para penipu
GateNews3jam yang lalu
