Satu Tabrakan Hash Menghapus 96% dari MAPO – Inilah yang Terjadi

MAPO jatuh lebih dari 96% setelah eksploitasi tabrakan hash di Butter Bridge yang membuat penyerang mencetak hampir 1 kuadriliun token. Protocol MAP kini telah menangguhkan perdagangan dan merencanakan kontrak baru.

Token tersebut tidak mengalami penurunan secara perlahan. MAPO turun lebih dari 96% dalam beberapa jam setelah penyerang menemukan cara untuk meyakinkan Butter Bridge bahwa transaksi yang sah telah diproses.

Perusahaan keamanan Blockaid menandai insiden ini di X, mengidentifikasi target sebagai Butter Bridge V3.1, juga dikenal sebagai OmniServiceProxy. Menurut Blockaid di X, penyerang menipu jembatan di Ethereum dan BSC, mencetak sekitar 1 kuadriliun token MAPO langsung ke dompet baru. Pasokan yang beredar secara sah sekitar 208 juta. Matematika ini saja sudah menjelaskan sebagian besar pergerakan harga.

Bug yang Tidak Diberi Tanda Sampai Terlambat

Akar penyebabnya bukan kebocoran kunci. Bukan masalah dengan kontrak MAPO sendiri. Menurut penjelasan teknis Blockaid di X, jembatan mengautentikasi pengulangan pesan lintas rantai menggunakan keccak256(abi.encodePacked(…)) di empat bidang dinamis berturut-turut. Masalahnya: abi.encodePacked tidak menambahkan prefiks panjang. Alokasi bidang yang berbeda dapat menghasilkan string byte yang sama persis, dan oleh karena itu hash yang sama.

Penyerang menanam pesan MAP-ke-ETH yang ditandatangani oracle yang menunjuk ke alamat yang telah dihitung sebelumnya. Belum ada kontrak di sana. Jembatan menyimpan cache “NotContract” untuk pengulangan tersebut. Kemudian kontrak eksploitasi dideploy ke alamat tersebut.

Apa yang terjadi selanjutnya adalah urutan tiga langkah. Menurut Blockaid di X, penyerang memanggil retryMessageIn menggunakan batas bidang yang diatur ulang yang dikemas menjadi string 601-byte yang sama. Hash yang sama, lulus pengamanan yang sama. Jembatan mencetak 10^15 MAPO langsung ke dompet penyerang.

Eksploitasi jembatan lintas rantai yang mencetak token tidak sah telah menjadi pola berulang di seluruh infrastruktur DeFi tahun ini.

52 ETH Hilang. Hampir Sepertiga Kuadriliun Token Masih Ada di Sana

Penyerang bergerak cepat. Blockaid mengonfirmasi di X bahwa 52,21 ETH, sekitar $180.000, telah disedot dari pool ETH/MAPO Uniswap V4 setelah sekitar 1 miliar MAPO dijual ke dalamnya. Angka itu terdengar besar. Tapi juga kurang dari 0,001% dari apa yang dimiliki penyerang.

Sekitar 999,999 miliar MAPO tetap berada di dompet penyerang saat laporan ini dibuat, menurut Blockaid. Transaksi eksploitasi terlihat di Etherscan di 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. Alamat penyerang adalah 0x40592025392BD7d7463711c6E82Ed34241B64279 dan kontrak eksploitasi berada di 0x2475396A308861559EF30dc46aad6136367a1C30.

Protocol MAP mengonfirmasi kesadaran di X pada hari yang sama. Protocol MAP mengatakan di X bahwa tim sadar dan berkoordinasi dengan mitra keamanan eksternal untuk penyelidikan dan penahanan. Jembatan antara MAPO ERC-20 dan mainnet MAPO dihentikan sementara.

Protocol MAP Melangkah untuk Membatalkan Kepemilikan Penyerang

Pada hari berikutnya, respons beralih dari penahanan ke perombakan struktural. Protocol MAP mengumumkan di X bahwa semua layanan konversi antara token MAPO di alamat kontrak ERC20 asli 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 di jaringan BSC dan Ethereum serta MAPO di mainnet Protocol MAP dihentikan.

Semua bursa terkait telah diberitahu untuk menonaktifkan deposit dan penarikan untuk token ini, kata tim. Pengguna diperingatkan untuk menghindari perdagangan MAPO yang terkait dengan kontrak asli di platform desentralisasi, termasuk Uniswap dan PancakeSwap.

Alamat kontrak baru akan dipublikasikan. Snapshot akan diambil pada tanggal yang dianggap tepat oleh proyek. Token yang masih dimiliki oleh alamat yang dikendalikan penyerang, yang saat ini berjumlah ratusan miliar, akan sepenuhnya dikecualikan dari konversi atau snapshot di masa depan.

Protocol MAP juga mencatat di X, dalam tindak lanjut yang mengakui pelacakan PeckShield terhadap insiden tersebut, bahwa tim telah berkoordinasi dengan bursa dan mitra sejak pelanggaran. Pernyataan resmi mengenai langkah selanjutnya, rincian snapshot, dan kontrak baru sedang disiapkan.

Kegagalan jembatan telah menyebabkan bagian yang tidak proporsional dari kerugian kripto di tahun 2026, dengan penyerang secara konsisten menargetkan persimpangan di mana otomatisasi dan kepercayaan bertemu.

Pengguna telah disarankan oleh proyek untuk hanya mengandalkan saluran resmi. Panduan tidak resmi, peringatan tim, harus diabaikan sepenuhnya.