Perjanjian keuangan terdesentralisasi Rhea Finance mengalami kerentanan keamanan besar pada 16 April; perusahaan keamanan blockchain CertiK memperkirakan kerugian sekitar 7,6 juta dolar. Pelaku melakukan manipulasi dengan membuat kontrak token palsu dan menyuntikkan dana ke kumpulan likuiditas yang baru dibentuk, menyesatkan oracle dan mekanisme verifikasi protokol, sehingga berhasil menarik dana. CertiK telah mengidentifikasi alamat di rantai yang terlibat, dan investigasi masih berlangsung.

Mekanisme serangan: kombinasi tipuan kontrak token palsu dan kumpulan likuiditas

(Sumber: NearBlocks)

Berdasarkan analisis awal CertiK, jalur teknis serangan kali ini mencakup dua langkah kunci. Pelaku pertama-tama menerapkan kontrak token palsu, lalu menyuntikkan dana ke kumpulan likuiditas yang baru dibuat, menciptakan ilusi aktivitas transaksi “normal”. Operasi ini menyesatkan lapisan oracle dan verifikasi yang menjadi sandaran protokol Rhea Finance, membuatnya salah menilai nilai aset, sehingga pelaku dapat memanfaatkan celah antara nilai yang dipahami oleh protokol dan nilai aktual untuk menarik dana.

Serangan manipulasi oracle seperti ini merupakan ancaman keamanan yang berulang dalam ekosistem DeFi; mekanisme intinya adalah memutar-mutar sinyal likuiditas yang dibuat-buat atau data harga palsu, sehingga mengganggu penilaian protokol terhadap status aset dan memicu logika transaksi yang seharusnya tidak dieksekusi.

Skala kerugian: 7,6 juta setara hampir 6% dari TVL Rhea Finance

CertiK memperkirakan kerugian kali ini sekitar 7,6 juta dolar, namun seiring pendalaman analisis on-chain, angka tersebut masih dapat berubah. Berdasarkan data DefiLlama, Rhea Finance saat ini memiliki nilai total terkunci (TVL) sekitar 128 juta dolar, yang berarti kerugian akibat celah ini setara sekitar 6% dari total likuiditas platform; dalam satu peristiwa keamanan, ini tergolong menengah hingga cukup serius.

Setelah mencuri dana, pelaku merutekan aset melalui beberapa alamat on-chain; ini adalah metode pembauran yang umum setelah serangan DeFi, dengan tujuan mempersulit pelacakan berikutnya dan pekerjaan pembekuan dana.

Pergerakan dana on-chain bernilai besar pada hari yang sama

Pada hari yang sama dengan peristiwa Rhea Finance, catatan on-chain menyoroti dua perpindahan BTC bernilai besar lainnya:

Pemerintah AS: menyetor 8,2 BTC ke Coinbase Prime (sekitar 606 ribu dolar), aset ini berasal dari aset yang disita terkait peristiwa peretasan Bitfinex

Abraxas Capital: menyetor 1.993 BTC ke Kraken (sekitar 148 juta dolar), melanjutkan pola transaksi bitcoin berskala besar yang dimulai sejak pertengahan Maret

Pertanyaan yang sering diajukan

Apa itu serangan manipulasi oracle, dan bagaimana dampaknya pada protokol DeFi?

Oracle adalah perantara yang digunakan protokol DeFi untuk memperoleh data harga dari luar rantai (off-chain) atau dari dalam rantai (on-chain). Ketika penyerang memasukkan data yang terdistorsi ke oracle melalui kumpulan likuiditas yang dikendalikan secara artifisial atau kontrak token palsu, protokol dapat salah menilai nilai aset. Lalu, protokol akan menjalankan operasi pinjam-meminjam, likuidasi, atau arbitrase berdasarkan harga yang menyimpang, sehingga pelaku dapat mengambil selisih secara bebas risiko. Ini adalah salah satu metode serangan yang paling umum dan terus terjadi dalam sejarah DeFi.

Seberapa serius kerugian Rhea Finance dibanding TVL-nya?

Kerugian 7,6 juta dolar kira-kira setara dengan 5,9% dari TVL Rhea Finance yang sekitar 128 juta dolar, yang termasuk peristiwa keamanan dengan tingkat keparahan menengah. Jika pelaku belum menyelesaikan seluruh pemindahan dana, kerugian aktual mungkin lebih tinggi daripada estimasi awal CertiK. Platform saat ini masih berjalan, tetapi terdapat risiko berkelanjutan yang potensial.

Rhea Finance sampai saat ini belum memberikan respons; bagaimana pengguna yang memegang aset harus menyikapi?

Sebelum tim protokol mengeluarkan respons resmi atau mengonfirmasi bahwa sistem telah menutup celah dengan aman, pengguna yang memegang aset Rhea Finance sebaiknya menilai apakah perlu menarik likuiditas untuk mengurangi risiko. Lakukan pelacakan berkelanjutan terhadap perkembangan on-chain terbaru terkait peristiwa tersebut melalui platform keamanan pihak ketiga seperti CertiK, agar tidak menambah dana sebelum perbaikan celah sepenuhnya terkonfirmasi.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.