Serangan Pinjaman Kilat di Rantai BNB Menghasilkan Laba Pemecah Rekor $1.57 juta

Serangan pinjaman kilat paling signifikan di BNB Chain dilaporkan pada 11 Oktober ketika bot MEV menghasilkan keuntungan arbitrase besar-besaran sebesar $1.575 juta.

Serangan tersebut, yang melewati jaringan Pancakeswap DEX, hanya membebani bot pelaku dengan biaya $4.16, sehingga mereka mendapatkan keuntungan yang sangat besar.

Serangan Pinjaman Flash Tunggal Besar di Rantai BNB

Sesuai laporan, Bot MEV dengan alamat 0x216Ccf di Rantai BNB muncul sebagai pemegang rekor keuntungan arbitrase tunggal paling signifikan dalam sejarah rantai tersebut.

EigenPhi, firma analisis data blockchain terkemuka, mengungkapkan rinciannya, membenarkan bahwa keuntungan besar dihasilkan dari serangan manipulasi harga yang terencana pada token BH.

Pada dasarnya, penyerang mengeksploitasi kekurangan dalam sistem sebesar $1.27 juta, dan segera mentransfer dana tersebut ke mixer populer Tornado Cash.

Penyerang ini meminjam USDT dalam jumlah besar menggunakan ID fungsi 0x33688938 dan menambahkan USDT ke kontrak.

Dalam kondisi normal, rasio likuiditas kontrak adalah sekitar 1 USDT:100 BH. Penyerang kemudian memanipulasi sistem dengan langsung menukar USDT dengan BH melalui pasangan dan kemudian menghapus likuiditas dengan ID transaksi 0x4e290832.

Pertukaran ini mempengaruhi rasio penghapusan likuiditas secara drastis, berubah menjadi sekitar 1 USDT:2 BH, memungkinkan mereka untuk menarik lebih banyak USDT.

Rangkaian transaksi tersebut kemudian dikonfirmasi oleh Beosin, sebuah perusahaan keamanan blockchain terkenal, dengan menekankan sifatnya yang disengaja. Penyerang mendapat untung total $1.575 juta dalam keseluruhan proses.

$BH token di BNB Chain dieksploitasi sebesar ~$1.27 juta karena dugaan manipulasi harga. Keuntungannya dikirim ke Tornado Cash.
Attacker: 0xFDbfcEEa1de360364084a6F37C9cdb7AaeA63464

Penyerang melakukan flashloan dalam jumlah besar $ USDT, lalu panggil 0x33688938() untuk menambahkan $ USDT ke ... pic.twitter.com/POppQswi7u

— Peringatan Beosin (@BeosinAlert) Oktober 11, 2023

Alamat Bot MEV 0x216Ccf kemungkinan dibuat pada 6 Oktober dan tidak aktif sejak saat itu, hingga tanggal serangan pinjaman kilat. Alamat penghitung, 0xFDbfcE, telah aktif dan saat ini menyimpan sekitar 1,000 token BNB senilai $205.8K.

Teka-teki Serangan Pinjaman Flash

Penyerang pinjaman flash terutama akan melakukannya mengeksploitasi mekanisme pinjaman kilat untuk mencuri dana pengguna, seperti dalam kasus token BH. Dalam arti sebenarnya, pinjaman kilat bukanlah sebuah serangan melainkan sebuah sistem yang memungkinkan orang mendapatkan keuntungan dari perdagangan arbitrase.

Dalam 24 jam sebelum penulisan laporan ini, data EigenPhi menunjukkan bahwa ada sekitar 278 pinjaman kilat dalam jaringan Ethereum. Jumlahnya masing-masing menjadi 2,435 dan 9,721 dalam 7 dan 30 hari terakhir. Nilai transaksi senilai lebih dari $2.2 miliar merupakan pinjaman kilat dalam 30 hari terakhir, yang menunjukkan perluasan penggunaan mekanisme ini.

Namun, banyak penipu yang memanfaatkan pinjaman kilat untuk melumpuhkan sistem kripto dan mencuri dari investor, seperti dalam kasus yang disebutkan di atas. Pada bulan Juni tahun ini, protokol DeFi yang dijuluki Sturdy Finance kehilangan 442 ETH senilai $800K melalui berbagai peretasan, termasuk serangan pinjaman kilat.