Polter Finance, platform pinjaman terdesentralisasi, harus menghentikan operasinya setelah diretas, yang mengakibatkan pencurian hampir semua aset di platform tersebut. Perkiraan total kerugian berjumlah 16,1 juta dolar Singapura (setara dengan 12 juta USD), menurut laporan tim pendiri.



Detail kejadian:



1. Cara menyerang:


• Peretas mengeksploitasi kerentanan dalam mekanisme penetapan harga token BOO Polter Finance, aset yang diperdagangkan di platform SpookySwap.


• Melalui Manipulasi Oracle (serangan manipulasi harga melalui Oracle), penyerang menggunakan pinjaman flash untuk menaikkan harga token BOO, kemudian melakukan transaksi untuk menarik sejumlah besar aset dari platform boulder.


2. Perjalanan serangan:


• Penyerang awalnya menggunakan Tornado Cash, alat pencampur koin di Ethereum, untuk menyembunyikan asal dana.


• Dana tersebut kemudian disalurkan ke jaringan Fantom, tempat kerentanan keamanan dalam kontrak pintar dieksploitasi.


3. Kerusakan:


• Menurut laporan, peretas menarik lebih dari 7-12 juta USD, menghabiskan TVL (Total Value Locked) Polter Finance dari 9,7 juta USD sebelum peretasan.


• Pendiri Polter yang tidak disebutkan namanya, Whereghost, juga menderita kerugian pribadi sekitar $223.219.


4. Tindakan dari Polter Finance:


• Platform untuk sementara menghentikan operasinya untuk mengendalikan kerusakan dan memberi tahu penyedia jembatan.


• Polter mengirimkan pesan on-chain kepada peretas, menawarkan untuk menegosiasikan pengembalian uang tanpa bantuan hukum.


• Pada saat yang sama, mereka bekerja sama dengan SEAL-ISAC untuk melacak penyerang.



Akar penyebab:



• Menurut firma audit keamanan QuillAudits, masalahnya terletak pada cara Polter Finance menghitung harga token BOO berdasarkan rasio token dalam pasangan likuiditas di SpookySwap (v3 dan v2).


• Hal ini memungkinkan penyerang menggunakan pinjaman kilat untuk menaikkan harga BOO dan menarik aset dengan nilai yang berkali-kali lipat lebih besar dari nilai sebenarnya.



Dampak dan pelajaran:



1. Dampak industri kripto:


• Peretasan ini adalah contoh utama kerentanan keamanan di platform DeFi. Menurut laporan dari Certi, total kerugian akibat peretasan di industri kripto melebihi $2 miliar pada tahun 2024, dengan lebih dari 44 insiden terkait dengan kesalahan kode.


2. Pelajaran:


• Penggunaan Oracle yang tidak aman dapat menyebabkan kerentanan yang serius. Proyek perlu melakukan audit keamanan yang ketat dan pengoptimalan kontrak cerdas sebelum penerapan.



Menyimpulkan:



Peretasan Polter Finance tidak hanya menjadi pelajaran peringatan bagi pengembang blockchain, tetapi juga memperingatkan investor untuk berhati-hati ketika berpartisipasi dalam platform DeFi yang belum diperiksa secara menyeluruh.