Dalam wawancara eksklusif dengan crypto.news, peretas topi putih dengan nama samaran yang dikenal sebagai Trust telah membagikan detail penting mengenai peretasan baru-baru ini yang memanfaatkan kerentanan dalam kontrak RouteProcessor2.

Trust mampu menghemat sejumlah besar dana pengguna dengan melakukan peretasan terlebih dahulu pada tanggal 10 April terhadap dana yang disimpan oleh Sifu, hanya untuk mengembalikan dana tersebut setelah memindahkannya ke tempat yang aman.

Sayangnya, pelaku jahat mampu meniru serangan tersebut dan mengeksploitasi kerentanan terhadap pemegang lainnya.

SushiSwap terkena serangan tingkat lanjut

Trust menjelaskan bahwa kontrak RouteProcessor2, yang diterapkan empat hari lalu, dirancang untuk mengawasi berbagai jenis pertukaran token SushiSwap (SUSHI). Pengguna menyetujui terlebih dahulu kontrak untuk membelanjakan token ERC20 mereka, lalu memanggil fungsi swap() untuk menjalankan pertukaran.

Namun, kontrak berinteraksi dengan kumpulan UniswapV3 dengan cara yang tidak aman, karena kontrak sepenuhnya mempercayai alamat “kumpulan” yang diberikan pengguna.

Pengawasan ini memungkinkan kumpulan yang buruk memberikan informasi palsu pada kontrak tentang sumber dan jumlah transfer, memungkinkan pengguna mana pun untuk memalsukan pertukaran dan mendapatkan akses ke seluruh jumlah yang disetujui pengguna lain.

Anda mungkin juga menyukai: Begini cara bot MEV di SushiSwap menyebabkan kerugian $3,3 juta

Trust menyatakan bahwa kerentanan ini seharusnya dapat dideteksi oleh firma audit yang masuk akal, sehingga meningkatkan kekhawatiran tentang kematangan basis kode produksi.

Peretas juga menyebutkan kehadiran bot yang sangat canggih yang mereplikasi transaksi penghematan dana mereka untuk mencuri aset, menekankan sumber daya dan kemampuan ekstensif dari bot ini, yang dikenal sebagai bot miner extratable value (MEV).

Trust memilih untuk melakukan peretasan preventif karena beberapa alasan.

Pertama, dia telah mengirimkan laporan kerentanan lengkap satu setengah jam sebelum peretasan namun tidak menerima balasan.

Kedua, dia takut tim pengembangan mungkin tidak tersedia selama akhir pekan.

Ketiga, mereka tahu bahwa kontrak tersebut tidak dapat diperbaiki dan hanya dapat diretas atau persetujuan penggunanya dicabut.

Terakhir, mereka memprioritaskan menyimpan satu alamat yang menyimpan sebagian besar dana dalam risiko, yaitu alamat Sifu. Trust juga tidak mengantisipasi kompleksitas bot MEV dalam situasi tersebut.

Mengingat pengungkapan ini, sangat penting bagi komunitas kripto untuk menilai kembali praktik keamanan dan memprioritaskan audit menyeluruh terhadap kontrak pintar untuk mencegah eksploitasi kerentanan tersebut.

Tindakan Trust menunjukkan pentingnya peretas topi putih dalam ekosistem, berupaya melindungi dana pengguna dan meningkatkan keamanan secara keseluruhan.

Anda mungkin juga menyukai: Protokol DeFi Euler Finance mengalami peretasan senilai $197 juta