DeFi (Decentralised Finance) memang menyimpan risiko besar. Teknologi kontrak pintar (smart contract) yang ditulis sembarangan akan membawa petaka. Kini giliran ForceDAO yang kena!
Masih ingatkah Anda dengan salah satu hack paling terkenal di dunia Ethereum, The DAO Hack, tahun 2016 lalu? Tak kurang dari 3,5 juta ether yang saat itu bernilai setidaknya USD50 juta (kini bernilai USD7miliar) berhasil dibobol hacker. Sang hacker menggunakan kesalahan pemrograman yang kini terkenal dengan istilah “reentrancy“.
Kejadian The DAO Hack bukan yang terakhir. Baru saja terjadi, hacking pada ForceDAO. Kerugiannya USD350ribu atau setara IDR5miliar! Parahnya, hacking ini terjadi hanya beberapa jam setelah peluncuran ForceDAO.
Tak kurang dari lima hacker membobol platform ForceDAO. Para hacker lantas menjual token ini di beberapa platform DEX seperti 1inch. Harga token FORCE pun langsung terjun bebas jadi tinggal 10% saja dari harga sebelum hacking terjadi.
Mudit Gupta dari Polymath Network menjelaskan celah keamanan yang dipakai para hacker yang ternyata cukup sederhana.
xFORCE contract from @force_dao hacked and drained by a whitehacker. In the FORCE token, the transfer functions return false rather than reverting when the sender doesn’t have enough balance. The xFORCE contract assumes FORCE will revert and does not handle the returned value. pic.twitter.com/lPo9vJ48bs
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
Kesalahan fundamental sebagaimana tampak pada gambar menunjukkan bagaimana saldo yang tidak memadai tidak langsung dihentikan operasinya. Dari sini, fungsi tersebut lantas menghasilkan nilai False yang harusnya dievaluasi. Ternyata, si programmer lupa mengevaluasi yang menyebabkan siapapun bisa mendapatkan token gratis!
Kejadian ini tak akan menjadi yang terakhir. Bila Anda aktif memburu cuan dari industri aset kripto, ada baiknya Anda lebih berhati-hati. Karena di luar sana, penjahat melihat lekat-lekat pada sistem yang ada. Sedikit saja celah, uang Andalah yang jadi taruhan.