Serangan pinjaman kilat adalah saat aktor jahat mengeksploitasi sebuah kontrak pintar.
Serangan pinjaman kilat adalah eksploitasi
keuangan terdesentralisasi (DeFi) di mana
kontrak pintar yang ditujukan untuk mendukung penyediaan pinjaman kilat diserang untuk menyedot aset yang disimpan di kolam likuiditas tertentu. Dalam serangan seperti itu, aktor jahat membuka pinjaman, menggunakan modal pinjaman itu untuk membeli aset lain dengan arbitrase dan dengan cepat membayar kembali pinjaman mereka, mengambil aset yang tersisa bersama mereka selama seluruh proses sebagai keuntungan mereka.
Penting untuk dipahami bahwa eksposur ini hanya dapat terjadi dalam protokol DeFi karena
tidak memerlukan izin dan sepenuhnya dijalankan oleh kontrak pintar. Meskipun ketiadaan perantara memberikan banyak manfaat seperti penghematan biaya dan ketahanan sensor, tidak adanya pihak ketiga yang mengawasi pemberian pinjaman tanpa agunan yang diberikan melalui kontrak pinjaman kilat membuat platform DeFi rentan terhadap serangan semacam itu.
Jenis aktivitas jahat ini sebenarnya rumit dan sulit dilakukan, namun entah bagaimana ada banyak kasus di mana penjahat dunia maya berhasil dalam upaya ini.
Sebagian besar serangan pinjaman kilat melibatkan penggunaan modal pinjaman untuk melakukan arbitrase aset dari protokol DeFi lain. Misalnya, dalam salah satu
serangan protokol bZx, peretas mengambil pinjaman dari kontrak dan segera mengubahnya menjadi
stablecoin. Tetapi karena kontrak pintar hanya berfungsi berdasarkan data yang diberikan kepada mereka, mereka rentan terhadap beberapa eksploitasi. Penyerang mengambil keuntungan dari itu dengan memanipulasi harga
stablecoin, sUSD, dengan menempatkan pesanan beli besar di atasnya, yang membantu mendorong harga
stablecoin menjadi dua kali lipat dari nilai yang seharusnya. Dari sana, dia mengambil pinjaman yang lebih besar dengan menggunakan sUSD yang dia tukarkan sebagai agunan. Kemudian, dia melunasi semua pinjaman ini dan mengambil sisa aset bersamanya sebagai keuntungan.
Serangan pinjaman kilat terkenal lainnya terjadi sebelumnya, di platform yang sama. Si penyerang mengambil sebuah pinjaman kilat di dYdx, yang merupakan DApp peminjaman, dan mengirim modal dari pinjaman kilat tersebut ke Compound dan Fulcrum — di Fulcrum, penyerang mengambil posisi ' short ' ETH terhadap Wrapped Bitcoin (WBTC), sementara juga mengambil sebuah pinjaman WBTC di Compound. Tanpa terlalu banyak membahas secara spesifik, ketika harga WTBC melonjak karena efek Fulcrum membeli WBTC, penyerang pinjaman kilat menjual WBTC mereka di Uniswap, melunasi utangnya sendiri, dan lolos dengan sisa ETH yang tersisa.
Pada Mei 2021, agregator
yield farming berbasis BNB Chain yang populer, PancakeBunny, juga mengalami serangan pinjaman kilat. Penyerang pinjaman kilat meminjam sejumlah besar BNB di PancakeBunny, sehingga memanipulasi harganya terhadap
stablecoin USD Binance dan token
Bunny — ketika peretas pinjaman kilat membuang Bunny mereka ke pasar, harganya anjlok.