Poin Utama:
Sebuah eksploitasi telah memengaruhi agregator bursa multirantai Dexible dan akibatnya, aset kripto senilai $2 juta hilang.
Beberapa paus menyumbang sekitar 85% dari kerugian tersebut, lanjut penelitian tersebut.
Data Blockchain mengungkapkan bahwa BlockTower Capital, sebuah perusahaan investasi untuk aset digital, adalah salah satu korban.
Pada Jumat pagi, agregator pertukaran terdesentralisasi Dexible menjadi korban peretasan senilai $2 juta, menurut pengumuman yang diperbarui protokol di saluran Discord-nya.
Antarmuka Dexible menampilkan peringatan pop-up tentang kerentanan setiap kali pengguna mengunjunginya pada pukul 6:35 malam UTC tanggal 17 Februari.
Menurut tweet dari Dexible, peretas berhasil menguras aset dari dompet mata uang kripto yang berisi dana yang telah diizinkan untuk digunakan dengan memanfaatkan kelemahan dalam kode kontrak pintar.
Komunitas Dexible yang terhormat, dengan berat hati kami sampaikan bahwa pada dini hari tanggal 17 Februari, seorang peretas mengeksploitasi kerentanan dalam kontrak pintar terbaru kami. Hal ini memungkinkan peretas untuk mencuri dana dari dompet mana pun yang memiliki persetujuan pengeluaran yang belum dibelanjakan pada kontrak tersebut. 1/5
— Dexible (@DexibleApp) 17 Februari 2023
Tim mengumumkan bahwa mereka telah menemukan kemungkinan peretasan pada kontrak Dexible v2 pada pukul 6:17 pagi UTC dan sedang menyelidiki masalah tersebut. Mereka mengirimkan pernyataan kedua yang mengatakan bahwa mereka kini mengetahui $2.047.635 sekitar sembilan jam kemudian. Beberapa paus menyumbang sekitar 85% dari kerugian tersebut, penelitian tersebut berlanjut.
Menurut laporan Dexible, serangan tersebut memengaruhi 13 dompet Arbitrum dan 5 dompet Ethereum. Dompet-dompet ini telah ditambang sepenuhnya.
Sekitar pukul 4:00 sore UTC, laporan post-mortem diterbitkan sebagai file PDF dan tersedia di Discord. Tim juga menyatakan bahwa saat ini mereka sedang mengerjakan rencana perbaikan.
Tim mengklaim dalam laporan bahwa mereka menyadari adanya masalah setelah salah satu pendirinya kehilangan mata uang kripto senilai $50.000 dari dompetnya karena alasan yang tidak jelas. Investigasi tim mengungkapkan bahwa seorang penyerang telah mentransfer mata uang kripto senilai lebih dari $2 juta dari pengguna yang sebelumnya telah memberikan izin kepada aplikasi untuk mentransfer token mereka menggunakan fitur selfSwap pada aplikasi tersebut.
Fungsi selfSwap memungkinkan pengguna untuk menukar satu token dengan token lain dengan memberikan alamat router dan calldata yang terhubung dengannya. Namun, kode tersebut tidak berisi daftar router yang telah disertifikasi.
Untuk mentransfer token pengguna dari dompet mereka ke kontrak pintar milik penyerang, penyerang menggunakan metode ini untuk mengarahkan transaksi dari Dexible ke setiap kontrak token. Kontrak token tidak menghentikan transaksi palsu karena transaksi tersebut berasal dari Dexible, yang sebelumnya telah diberi izin oleh pengguna untuk menggunakan token mereka.
Michael Coon, kepala eksekutif Dexible, mengatakan:
“Kami telah menghentikan sementara kontrak-kontrak ini, sementara kami masih mencari gambaran lengkap mengenai situasi ini.”
Menurut data blockchain, BlockTower Capital, sebuah perusahaan investasi untuk aset digital, adalah salah satu korban.
Dompet yang digambarkan sebagai milik BlockTower oleh perusahaan intelijen blockchain Arkham Intelligence telah dikosongkan dari hampir $1,5 juta dalam token TRU oleh alamat dompet yang terhubung ke eksploitator Dexible pada platform pemantauan blockchain Etherscan. Alamat BlockTower Capital juga telah ditetapkan oleh perusahaan intelijen blockchain Nansen.
Transaksi blockchain Arkham menunjukkan bahwa eksploitator mengirim token TRU yang dicuri ke SushiSwap untuk menukarnya dengan Ethereum (ETH). Mereka kemudian mentransfer ETH ke TornadoCash, layanan pencampuran mata uang kripto.
SANGGAHAN: Informasi di situs web ini disediakan sebagai komentar pasar umum dan bukan merupakan saran investasi. Kami menganjurkan Anda untuk melakukan riset sendiri sebelum berinvestasi.
Bergabunglah dengan kami untuk mengikuti berita terbaru: https://linktr.ee/coincu
Bahasa Indonesia:Harold
Berita Coincu