Analisis

Analisis Euler Finance Hack: Flash Loan Attack $200 Juta

Euler Finance kehilangan sekitar $197 juta pada Maret 2023 lewat flash loan yang mengeksploitasi celah logika donasi dan likuidasi. Sebagian besar dana kembali.

flash loanEuler Financesmart contractlending

Euler Finance, protokol lending berbasis Ethereum, kehilangan sekitar $197 juta pada 13 Maret 2023 melalui serangan flash loan yang mengeksploitasi celah logika pada fungsi donasi ke reserve dan mekanisme likuidasinya. Kasus ini menjadi salah satu contoh paling sering dirujuk ketika membahas bagaimana kombinasi fitur yang masing-masing terlihat aman secara terpisah bisa menciptakan celah baru saat digabungkan — dan juga menjadi salah satu pemulihan dana pasca-hack terbesar dalam sejarah DeFi.

Kronologi

Euler adalah protokol lending yang memungkinkan pengguna menyetor jaminan (collateral) dan meminjam aset lain, mirip Aave atau Compound, namun dengan fitur tambahan yang lebih fleksibel, termasuk kemampuan mendonasikan token deposit (eToken) langsung ke reserve protokol.

Pada 13 Maret 2023, penyerang mengeksekusi rangkaian transaksi kompleks menggunakan flash loan — pinjaman tanpa jaminan yang harus dilunasi dalam satu transaksi yang sama. Dalam waktu kurang dari beberapa jam, penyerang melakukan enam transaksi eksploitasi terpisah yang menargetkan pool DAI, WBTC, stETH, dan USDC, dengan total kerugian mencapai sekitar $197 juta.

Beberapa hari setelah insiden, penyerang mulai mengirim pesan on-chain kepada tim Euler menyatakan bersedia bernegosiasi. Setelah rangkaian komunikasi publik dan tekanan (termasuk ancaman pelacakan lewat firma forensik blockchain), penyerang mulai mengembalikan dana secara bertahap mulai akhir Maret 2023, dan hampir seluruh dana — menurut laporan Euler — dikembalikan pada awal April 2023.

Bagaimana Exploit Terjadi

Akar masalah terletak pada fungsi donateToReserves, yang memungkinkan pengguna mendonasikan eToken (token yang mewakili saldo deposit) miliknya ke reserve protokol tanpa melalui pemeriksaan kesehatan akun (health check) yang biasanya diterapkan pada aksi seperti penarikan atau peminjaman.

Secara sederhana, penyerang menggunakan flash loan untuk menyetor jaminan dalam jumlah besar, lalu meminjam aset lain terhadap jaminan tersebut sehingga menciptakan posisi berutang. Setelah itu, penyerang memanggil fungsi donasi untuk “membuang” eToken jaminannya ke reserve — tindakan yang secara efektif menghilangkan nilai jaminan dari akunnya tanpa mengurangi utang yang tercatat. Karena fungsi donasi ini tidak diperiksa terhadap rasio kesehatan akun, sistem tidak menganggapnya sebagai aksi yang boleh diblokir, meski hasil akhirnya membuat akun tersebut menjadi sangat undercollateralized.

Akun yang undercollateralized ini kemudian memenuhi syarat untuk dilikuidasi dengan diskon likuidasi yang cukup besar. Penyerang, melalui akun kedua yang ia kontrol sendiri, langsung melikuidasi akun pertama tersebut — pada dasarnya “melikuidasi dirinya sendiri” — dan mendapatkan kembali sebagian besar collateral dengan harga diskon, jauh melebihi nilai utang yang perlu ditutup. Selisih inilah yang menjadi keuntungan bersih penyerang, dikalikan berulang kali di enam transaksi berbeda untuk memaksimalkan hasil sebelum posisi ditutup dan flash loan dilunasi dalam satu transaksi yang sama.

Euler sudah melalui beberapa audit sebelum insiden ini, namun interaksi spesifik antara fungsi donasi dan mekanisme likuidasi — dua fitur yang masing-masing terlihat wajar secara terpisah — tidak tertangkap sebagai kombinasi berbahaya.

Dampak

Total kerugian awal sekitar $197 juta membuat Euler menghentikan sementara seluruh operasional protokolnya. Yang membedakan kasus ini dari kebanyakan hack DeFi besar lainnya adalah proses pemulihan dana: melalui negosiasi on-chain yang transparan dan dipublikasikan oleh tim Euler, penyerang mengembalikan hampir seluruh dana curian dalam waktu sekitar tiga minggu setelah insiden, menurut laporan Euler dan pemberitaan yang mengikuti kasus ini.

Euler kemudian merilis fungsi donasi versi baru dengan pemeriksaan kesehatan akun yang lebih ketat sebelum protokol diaktifkan kembali secara bertahap.

Pelajaran

Beberapa pelajaran konkret yang relevan untuk pengguna protokol lending DeFi:

  • Fitur individual yang lolos audit tidak menjamin kombinasi fitur juga aman. Fungsi donasi dan mekanisme likuidasi Euler masing-masing berfungsi sesuai desain, tapi interaksi keduanya menciptakan celah baru. Ini adalah alasan kenapa protokol dengan basis kode kompleks butuh audit yang secara eksplisit menguji interaksi antar-fitur, bukan cuma fitur satu per satu — lihat juga analisis pentingnya smart contract audit.
  • Pengembalian dana bukan hal yang bisa diandalkan. Kasus Euler yang berujung damai adalah pengecualian, bukan pola umum. Mayoritas hack DeFi besar tidak pernah mendapat pengembalian dana signifikan — jangan mengasumsikan hal yang sama akan terjadi pada protokol lain.
  • Flash loan sendiri bukan penyebab masalah — ia adalah alat. Yang membuat serangan flash loan berbahaya adalah celah logika di protokol target. Memahami cara kerja flash loan membantu menilai risiko protokol yang memungkinkan interaksi kompleks dalam satu transaksi.
  • Perhatikan riwayat insiden dan respons tim sebelum menaruh dana besar di protokol lending baru. Kecepatan dan transparansi tim Euler dalam menangani insiden — termasuk komunikasi publik dengan penyerang — menjadi faktor yang membedakan kasus ini dari hack lain yang dananya tidak pernah kembali.

⚠️ Disclaimer: Artikel ini bersifat edukatif dan disusun berdasarkan laporan publik serta pemberitaan yang telah terverifikasi. Bukan saran keuangan atau investasi personal. Selalu lakukan riset mandiri sebelum menggunakan protokol atau bridge apa pun.

Siap Level Up ke Strategi Serius?

Anda sudah paham konsepnya — saatnya eksekusi dengan pendampingan langsung. Join WhaleX Membership: akses kelas, mentor, dan komunitas investor crypto Indonesia.

Join Membership WhaleX →

Pertanyaan Umum

Berapa kerugian dari Euler Finance hack?

Sekitar $197 juta dicuri pada 13 Maret 2023 melalui rangkaian flash loan yang mengeksploitasi celah pada fungsi donateToReserves di protokol lending Euler.

Apakah dana hasil hack Euler Finance dikembalikan?

Ya, hampir seluruh dana dikembalikan secara bertahap dalam beberapa minggu setelah negosiasi on-chain antara tim Euler dan pihak yang melakukan eksploitasi, salah satu pemulihan dana terbesar dalam sejarah hack DeFi.