Pada bulan April tahun lalu, seorang peretas mengeksploitasi bug dalam protokol DeFi berbasis Optimisme, Hundred Finance, dan menghasilkan $7,4 juta.
Setelah lebih dari setahun bungkam, dana yang dicuri kini berpindah-pindah.
Sekitar pukul 10:25 waktu London pada hari Rabu, peretas menarik Ether dan stablecoin USDT Tether senilai hampir $800,000 dari bursa terdesentralisasi Curve setelah menggunakan token tersebut untuk menyediakan likuiditas di sana lebih dari setahun yang lalu.
Setelah penarikan tersebut, peretas menggunakan bursa terdesentralisasi Uniswap untuk menukar USDT, serta sejumlah kecil mata uang kripto lainnya seperti PAXG, WOO, FRAX, dan DAI ke dalam Ether.
Secara total, transaksi tersebut meningkatkan kepemilikan dompet Ether lebih dari $1 juta.
Peretas sekarang memiliki Ether senilai $4.2 juta, DAI $1.2 juta, stablecoin sUSD Synthetix senilai $859,000, dan Wrapped Ether, FRAX, SNX, dan Wrapped Bitcoin dalam jumlah yang lebih kecil.
Mengapa peretas tiba-tiba memutuskan untuk mulai memindahkan dana setelah sekian lama tidak diketahui. Jika peretas masih mengendalikan dompet dan melakukan transaksi, ini mungkin menandakan bahwa mereka sedang bersiap untuk mencairkan dana yang dicuri.
Peretas sering kali mengubah kripto curian menjadi Bitcoin atau Ether agar lebih mudah menukarnya dengan mata uang fiat.
Bisakah peretas menguangkannya?
Mungkin akan semakin sulit bagi peretas untuk mencairkan kripto curiannya.
Sebelum mencoba mencairkan dana melalui pertukaran kripto terpusat, peretas harus memutus rantai ketertelusuran yang menghubungkan dana ke dompet yang melakukan peretasan.
Sebelumnya, peretas mengandalkan pencampur kripto seperti Samourai Wallet atau protokol privasi seperti Tornado Cash untuk mencuci dana.
Namun regulator di seluruh dunia menindak cara pengguna kripto mengaburkan riwayat transaksi mereka.
Pada tanggal 24 April, Parlemen Eropa memutuskan untuk melarang pencampur kripto sebagai bagian dari peraturan anti pencucian uang yang baru.
Kemudian pada tanggal 25 April, DoJ mendakwa dua pendiri pencampur kripto Samourai Wallet dengan konspirasi melakukan pencucian uang dan konspirasi untuk menjalankan bisnis pengiriman uang tanpa izin.
Dalam kasus seperti Samourai Wallet, otoritas AS mengambil kendali atas server pencampur kripto, sehingga tidak dapat dioperasikan.
Tindakan penegakan hukum juga menghalangi pengguna untuk menggunakan pencampur kripto dan protokol privasi. Pada bulan September 2022, pengembang protokol privasi Tornado Cash mengatakan kepada perusahaan keamanan kripto Elliptic bahwa likuiditas yang rendah pada protokol berarti bahwa pengguna kesulitan untuk menggabungkan $100 sekalipun.
Peretasan Seratus Keuangan: Satu tahun kemudian
Hundred Finance adalah protokol yang bercabang dari protokol peminjaman populer Compound v2 yang memungkinkan pengguna meminjamkan dan meminjam kripto.
Pada tanggal 15 April 2023, seorang peretas mengeksploitasi bug dalam kode Hundred Finance untuk mencuri sekitar $7,4 juta dari deposan.
Peretas mengeksploitasi kesalahan pembulatan dalam cara protokol memproses penarikan, membiarkan mereka menggunakan sejumlah kecil Wrapped Bitcoin sebagai jaminan untuk menarik lebih banyak aset dari yang seharusnya bisa mereka lakukan.
Setelah eksploitasi tersebut, Hundred Finance pertama-tama menawarkan hadiah terbuka sebesar $500.000 untuk informasi yang dapat mengarah pada penangkapan peretas dan pengambilan kembali aset yang dicuri.
Kemudian, protokol tersebut mencoba untuk menegosiasikan pengembalian dana dengan menawarkan kepada peretas 10% dari dana yang dicuri, sekitar $740,000, untuk pengembalian 90% sisanya dengan aman.
Kedua upaya untuk memulihkan dana yang dicuri gagal, dan pemegang token Hundred Finance memilih untuk menutup proyek tersebut pada 9 Agustus.
Tim Craig adalah Koresponden DeFi di DL News. Punya tip? Email dia di tim@dlnews.com.
