Aftermath telah mengonfirmasi eksploitasi yang memengaruhi protokol perpetualnya, menandai insiden keamanan terbaru dalam sebulan yang telah menyaksikan kerugian besar di seluruh DeFi.
Tim menyatakan bahwa masalah tersebut berasal dari celah yang memungkinkan penetapan biaya builder negatif, mengakibatkan kerugian sekitar $1,14 juta. Protokol dihentikan sementara sebagai tindakan pencegahan, sementara produk yang tidak terpengaruh tetap beroperasi.
Insiden ini menambah pola eksploitasi yang lebih luas sepanjang April, dengan kegagalan skala besar dan kerentanan yang lebih kecil yang berdampak pada berbagai protokol.
Eksploitasi besar mendominasi kerugian April
Dua insiden menyumbang sebagian besar kerugian yang dilaporkan bulan ini.
Eksploitasi terkait rsETH milik Kelp DAO memicu salah satu gangguan terbesar, dengan dampak yang diperkirakan sekitar ~$292 juta. Masalah ini melibatkan pencetakan aset tanpa dukungan melalui kerentanan terkait jembatan lintas rantai yang kemudian menyebar ke seluruh protokol yang terintegrasi.
Meskipun dana tidak dikuras dalam artian tradisional, peristiwa ini menciptakan risiko sistemik, terutama bagi platform pinjaman yang terekspos pada aset tersebut.
Insiden besar lainnya melibatkan Drift Protocol, di mana serangan yang terkait dengan manipulasi agunan dan akses administratif menyebabkan kerugian signifikan. Laporan memperkirakan dampaknya mencapai ratusan juta, meskipun struktur serangan tersebut berbeda dari eksploitasi tipikal.
Secara keseluruhan, insiden-insiden ini menyumbang sebagian besar dari kerugian yang dilaporkan pada April, yang melebihi $600 juta berdasarkan data pelacakan yang tersedia.
Eksploitasi berukuran menengah terus bermunculan
Di luar kasus terbesar, beberapa eksploitasi tingkat menengah telah berkontribusi pada total kerugian bulan ini.
Rhea Finance mengalami kerugian sekitar $7,6 juta akibat serangan yang melibatkan kontrak token palsu dan manipulasi oracle.
Grinex Exchange melaporkan pengurasan dompet senilai ~$13,7 juta, yang memengaruhi beberapa alamat.
GiddyDefi kehilangan sekitar $1,3 juta akibat celah validasi otorisasi yang terkait dengan mekanisme replay tanda tangan.
CoW Swap juga mengalami insiden senilai ~$1,2 juta yang terkait dengan serangan pembajakan domain, menyoroti risiko di luar kerentanan smart contract.
Insiden kecil menyoroti kelemahan yang terus ada
Beberapa eksploitasi yang lebih kecil juga telah dilaporkan di seluruh ekosistem.
Silo Finance, Aethir, dan Dango masing-masing mengalami kerugian yang terkait dengan kesalahan konfigurasi oracle, masalah kontrol akses, atau bug kontrak. Dalam beberapa kasus, seperti Dango, dana kemudian berhasil dipulihkan melalui intervensi white-hat.
Baru-baru ini, Scallop dan Volo Protocol mengungkapkan insiden yang masing-masing melibatkan cacat logika kontrak dan kompromi kunci privat. Meskipun kasus-kasus ini lebih kecil skalanya, keduanya memperkuat frekuensi kerentanan di berbagai lapisan DeFi.
Lanskap risiko yang terfragmentasi
Secara keseluruhan, insiden-insiden April mengungkap lingkungan risiko yang terfragmentasi, bukan satu titik kegagalan tunggal.
Eksploitasi telah terjadi di berbagai area:
- logika smart contract
- sistem manajemen kunci
- infrastruktur domain
- jembatan lintas rantai
- parameter desain protokol
Penyebaran ini menunjukkan bahwa risiko dalam DeFi tidak terbatas pada kerentanan kode, tetapi juga meluas ke keamanan operasional dan arsitektur sistem.
Ringkasan Akhir
- Eksploitasi Aftermath menambah gelombang insiden April, dengan kerugian yang dilaporkan melebihi $600 juta yang sebagian besar didorong oleh beberapa peristiwa besar.
- Kombinasi bug kontrak, kompromi kunci, dan risiko infrastruktur menyoroti sifat berlapis dari tantangan keamanan dalam DeFi.
Source: https://ambcrypto.com/aftermath-exploit-adds-to-aprils-growing-list-of-defi-security-incidents/
