Editor Kripto Harian
Curve Finance (curve.fi), salah satu platform kewangan desentralisasi (Decentralized Finance, DeFi) yang terkenal telah dieksploitasi pada 20 Julai 2023. Menurut Chainalysis.com, peristiwa yang malang ini mengakibatkan kerugian berjumlah kira-kira RM 318 juta (USD 70 juta) dan mencetuskan panik di kalangan pengguna-pengguna DeFi, khususnya pengguna platform yang kurang bernasib baik itu.
Penggodam berjaya mengambil kesempatan untuk mengeksploitasi kelemahan dalam kod yang hadir dalam sesetengah versi bahasa pengaturcaraan Vyper. Vyper ialah bahasa yang digunakan untuk membina kontrak pintar (smart contracts).
Kontrak pintar atau kontrak bijak boleh digambarkan sebagai sebuah perisian atau program yang boleh bertindak secara automatik mengikut syarat yang dipratentukan terlebih dahulu.
Kontrak pintar digunakan secara meluas dalam kewangan desentralisasi, terutamanya untuk melaksanakan pertukaran mata wang kripto tanpa melibatkan pihak perantaraan. Yang penting sekali, kontrak pintar menggunakan formula matematik untuk mengira nilai token atau mata wang kripto tertentu relatif kepada aset yang lain. Cara ini membolehkan nilai aset yang berkenaan diselaraskan secara automatik berdasarkan jumlah aset dalam “kumpulan kecairan” (liquidity pool).
Apakah kumpulan kecairan?
Anda boleh membayangkan “kumpulan kecairan” sebagai sebuah pusat beli-belah mata wang kripto. Perbezaannya, pusat beli-belah jenis ini biasanya hanya menawarkan tidak melebihi dua jenis aset dagangan, contohnya mata wang kripto A dan mata wang kripto B.
Oleh sebab pusat beli-belah ini hanya memegang kripto A dan kripto B dalam inventorinya, urus niaga sewajarnya hanya dapat melibatkan kripto A dan kripto B.
Nilai kripto A dan kripto B ditentukan oleh sebuah program yang bijak sekali: kontrak pintar. Kontrak ini berfungsi berdasarkan kuantiti semasa kripto A dan kripto B.
Sebagai contoh, pada mulanya, andaikan 1 unit kripto B boleh diperoleh dengan menggunakan 1 unit kripto A. Semenjak itu, atas sebab tertentu permintaan terhadap kripto B meningkat. Pendek kata, ramai pengguna menawarkan kripto A yang dimiliki oleh mereka untuk memperoleh kripto B. Aktiviti ini seterusnya menyebabkan kuantiti kripto B yang sedia ada dalam takungan pasangan aset itu menurun dan kuantiti aset A bertambah. Perubahan ini akan dikesan dengan serta merta oleh kontrak pintar. Sebagai tindak balas, nilai kripto B relatif kepada kripto A akan naik dan nilai kripto A relatif kepada kripto B akan turun. Kesudahannya, anda akan memerlukan lebih banyak kripto A untuk memperoleh 1 unit kripto B.
Dari sudut pandangan ini, aktiviti yang diterangkan di atas sesungguhnya amat menyerupai sistem barter purba kecuali dalam kes ini, proses ini adalah automatik.
Jika anda berminat, artikel kami ini mempunyai maklumat yang lebih lanjut mengenai kontrak pintar.
Penggodaman berskala besar yang melibatkan Curve Finance ini bermula dengan eksploitasi kumpulan kecairan pETH-ETH. Dengan menggunakan contoh sama yang diberikan di atas, pETH ialah kripto A dan ETH ialah kripto B.
pETH ialah sejenis aset kripto yang diperkenalkan oleh sebuah protokol penyedia pinjaman yang menerima NFT (Non-Fungible Token) sebagai cagaran untuk pinjaman. Protokol ini bernama JPEG’d.
ETH ialah mata wang kripto asli blok rantai Ethereum yang juga merupakan mata wang kripto yang digunakan secara meluas sebagai medium pertukaran (“duit”) dalam dunia mata wang kripto.
Akibat daripada penggodaman ini, kumpulan kecairan tersebut mengalami kerugian berjumlah RM54 juta (USD 12 juta) menurut Chainalysis.com dan RM 50 juta (USD 11 juta) mengikut Tweet Decurity.
Tidak lama kemudian, sebelum Curve Finance sempat bertindak, satu lagi siri serangan berasingan melanda kumpulan-kumpulan kecairannya yang lain, termasuk kumpulan alETH-ETH Alchemix DAO (anggaran kerugian: RM 90 juta/USD 20 juta), kumpulan sETH-ETH Metronome DAO (anggaran kerugian: RM7 juta/USD 1.6 juta) dan kumpulan CRV/ETH Curve (anggaran kerugian: RM 81 juta/USD 18 juta).
Kejadian yang mengejutkan ini kemudiannya disahkan oleh ketua pegawai eksekutif Curve Finance, Michael Egorov melalui Telegram.
Sumber foto: Profil Linkedin Michael Egorov, ketua pegawai eksekutif Curve Finance.
Untuk meminimumkan kerugian, pada 3 Ogos 2023 Curve Finance bersama dengan mangsa-mangsa eksploitasi itu mempersembahkan satu tawaran yang cukup menarik untuk si penggodam. Mesej tawaran itu dihantar terus ke alamat dalam blok rantai penggodam melalui blok rantai Ethereum.
Apakah alamat dalam blok rantai?
Penggodam memerlukan “nombor akaun bank” yang dimiliki oleh mereka untuk menerima dan menyimpan aset yang dicuri. Dalam konteks blok rantai, “nombor akaun bank” ini dikenali sebagai “alamat dalam blok rantai” (on chain address). Oleh sebab transaksi yang berlaku dalam blok rantai boleh diperiksa oleh sesiapa sahaja asalkan ada internet, maka alamat dalam blok rantai penggodam boleh dikenal pasti dengan serta merta. Cumanya, kita tidak tahu identiti sebenar pemilik alamat itu. Blok rantai ialah teknologi yang amat inovatif. Selain daripada menggunakannya untuk merekod transaksi mata wang kripto, ia boleh juga digunakan untuk tujuan-tujuan yang kreatif seperti dalam kes ini, untuk menghantar mesej.
Mesej tersebut boleh diakses oleh sesiapa sahaja dengan menggunakan pelayar blok rantai (blockchain explorer) melalui cincang transaksi ini (transaction hash).
Usaha untuk memulihkan dana tersebut kemudiannya diumumkan pada keesokan hari melalui akaun X (dahulunya dikenali sebagai Twitter) Curve Finance dengan harapan tawaran itu akan dapat menemui jalannya ke penggodam.
Berikut ialah terjemahan kandungan tawaran tersebut:
Kami bertindak sebagai satu kumpulan: Curve, Metronome dan Alchemix ingin membincangkan perihal kurniaan (bounty) dengan mana-mana pihak yang terlibat dalam eksploitasi Curve baru-baru ini. Kami menawarkan 10% daripada sebarang dana yang dicuri sebagai kurniaan yang boleh anda simpan sekiranya anda memulangkan baki yang selebihnya, iaitu 90%.
Anda tidak akan perlu menghadapi sebarang risiko akibat daripada siasatan kami atau tindakan penguatkuasaan undang-undang, dan sebagainya.
Jika anda memilih untuk tidak mengambil bahagian dalam pemulangan sukarela ini dan melengkapkan proses ini selewat-lewatnya pada 0800 UTC 6 Ogos, akan kami tawarkan kurniaan/hadiah ini kepada orang ramai. Sesiapa yang dapat mengenal pasti identiti anda dan dengan ini memungkinkan sabitan anda di mahkamah akan menerima 10% kurniaan itu sepenuhnya. Kami akan menjejak anda dari semua sudut melalui apa jua cara yang dibenarkan oleh undang-undang.
Hubungi kami melalui curvenegotiation@protonmail.com secepat mungkin kerana tarikh akhir untuk melengkapkan pemulangan sudah dekat.
Sila ambil perhatian bahawa sesiapa yang menghantar e-mel kepada kami (untuk tujuan tersebut) perlu mengesahkan hak milik alamat dalam blok rantai mereka (on chain address) sebelum sebarang perbincangan akan dapat dimulakan.
Beberapa jam kemudian, Alchemix Finance yang kehilangan aset Alchemix ETH (alETH) mereka dalam persitiwa itu menerima satu mesej daripada penggodam. Mesej itu memerlukan platform DeFi itu mengesahkan alamat dalam blok rantai mereka untuk tujuan “pemulihan dana”. Komunikasi itu berakhir dengan aset Alchemix yang dicuri berjaya dipulihkan sepenuhnya.
Pada masa yang sama, Peck Shield turut melaporkan kira-kira 73% daripada aset yang dicuri telah dipulangkan oleh penggodam.
Sungguhpun begitu, Curve Finance kekal mengaktifkan pelan alternatif gabungan mangsa eksploitasi itu. Maknanya, kurniaan yang berjumlah 10% daripada dana yang dicuri kini dibuka untuk perebutan semua pihak yang berminat dan berkaliber untuk menjejaki pihak yang mendalangi jenayah kripto itu. Dalam kata lain, usaha untuk mengenal pasti identiti penggodam kini telah diglobalkan secara rasmi.
Setakat ini, komuniti mata wang kripto tidak pasti sama ada peristiwa penggodaman ini bersifat topi putih (berniat baik) atau topi hitam (berniat jahat). Kami juga tidak pasti sama ada pihak penggodam masih berhak untuk menerima sebahagian kurniaan yang ditawarkan memandangkan mereka telah pun memulangkan sebahagian daripada aset yang dicuri. Yang boleh dipastikan, peristiwa seperti ini bakal menyumbang kepada penambahbaikan ciri-ciri keselamatan protokol kewangan desentralisasi pada masa yang akan datang.
Sumber foto: Curve.fi.
