UwU Lend Merespon Hack sebesar $23 Juta, Menjeda Protokol dan Membahas dengan Hacker

Hassan Shittu

Terakhir diperbarui:

11 Juni 2024 10:31 EDT | 3 min read

Uwu Lend, sebuah protokol peminjaman yang didirikan oleh mantan CFO Frog Nation, Sifu, mengalami kerugian sebesar $19,4 juta akibat serangan manipulasi oracle.

Cyvers pertama kali mengidentifikasi eksploitasi, mengungkapkan serangkaian tiga transaksi yang canggih yang dilakukan dalam enam menit. Para penyerang mengonversi Wrapped Bitcoin (WBTC) dan Dai (DAI) yang dicuri menjadi Ether (ETH) setelah didanai dari Tornado Cash.

UwU Lend Terguncang oleh Serangan Manipulasi Oracle senilai $20 Juta, Pendiri Menawarkan Kesepakatan kepada Hacker

🚨🚨Hai @UwU_Lend, kamu sedang diserang!

Sejauh ini alamat telah mendapatkan sekitar $14 juta

Lebih banyak pembaruan akan ikuti!

Silahkan hubungi kami untuk mempelajari cara mengamankan aset digital Anda! #Cyvers pic.twitter.com/IND77hbTbH

• 🚨 Cyvers s 🚨 (@Cyverss) 10 Juni 2024

Pada hari Senin, 10 Juni, UwU Lend, sebuah protokol keuangan terdesentralisasi (DeFi), mengalami peretasan senilai hampir $20 juta dalam sebuah serangan eksploitasi mata uang kripto yang sedang berlangsung. Insiden ini pertama kali diidentifikasi oleh perusahaan keamanan on-chain Cyvers, yang memberi tahu komunitas dengan posting di platform media sosial X:

“Hey @UwU_Lend, kamu sedang diserang! Sampai saat ini, alamat tersebut telah mendapatkan sekitar $14M…”

Menurut Cyvers, UwU Lend, yang berfungsi sebagai pasar likuiditas yang memungkinkan pengguna untuk menyetor dan meminjam aset digital, diserang melalui serangkaian transaksi yang canggih. Eksploitasi tersebut dengan cepat meningkat, melebihi $20 juta dalam dana yang dicuri dalam satu jam setelah awal .

Serangan tersebut, didanai melalui protokol crypto-mixing Tornado Cash, dilakukan dengan kecepatan dan ketepatan yang luar biasa. Peretas melakukan tiga transaksi jahat dalam waktu hanya enam menit, menguras sekitar $20 juta. Para ahli keamanan mengungkapkan bahwa pendanaan untuk serangan tersebut diterima dari Tornado Cash dua hari sebelum eksploitasi.

Pemimpin hack @UwU_Lend hari ini menyebabkan kerugian $19.4 juta.

Penyebab utamanya adalah masalah oracle harga. Secara khusus, aset sUSDe dipatok sebagai median dari beberapa sumber. Lima di antaranya, yaitu FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD, dan GHOUSDe, dimanipulasi selama peretasan.

Pencurian… pic.twitter.com/xuGGegfDpV

— PeckShield Inc. (@peckshield) 10 Juni 2024

Menurut Peckshield, akar masalahnya adalah masalah orakel harga yang melibatkan aset sUSDe, yang dihargai berdasarkan median dari beberapa sumber. Penyerang memanipulasi lima sumber selama serangan, menyebabkan eksploitasi.

Kemarin UwU Lend menjadi target eksploitasi yang melibatkan serangan yang canggih. Tim bereaksi dengan cepat dan protokol dijeda dalam hitungan menit. Tingkat pinjaman dan deposit ditetapkan menjadi 0% sehingga posisi pengguna tidak akan terpengaruh oleh jeda ini.

— UwU Lend (@UwU_Lend) 11 Juni 2024

Sebagai respons terhadap serangan itu, UwU Lend dengan cepat menghentikan protokolnya untuk mencegah kerugian lebih lanjut dan mengatur tingkat pinjaman dan setoran menjadi 0% untuk melindungi posisi pengguna. Tim ini mengeluarkan pernyataan di halaman X mereka, menjelaskan tindakan segera mereka dan penyelidikan yang sedang berlangsung:

“Kami telah membuat tawaran kepada peretas dan sedang menunggu tanggapan. Protokol akan tetap dijeda hingga penyelidikan selesai. Terima kasih atas kesabaran Anda selama ini.”

CEO UwU menawarkan kesepakatan kepada peretas Sumber: Etherscan Michael Patryn, juga dikenal sebagai 0xSifu, pendiri UwU Lend, menawarkan peretas kesepakatan untuk mengembalikan sekitar $16 juta dalam kripto sebagai pertukaran untuk mengurangi potensi tuntutan. Dia menyatakan dalam pesan on-chain:

“Kami menawarkan hadiah bounty topi putih sebesar 20% dari dana yang diambil. Anda tidak akan menghadapi risiko kami mengejar lebih lanjut dan tidak ada risiko masalah penegakan hukum.”

Setelah batas waktu berakhir, hadiah akan diberikan kepada siapa saja yang dapat mengungkap dan membantu membawa pelaku ke pengadilan. Sementara itu, seseorang lagi mengirim pesan on-chain ke peretas dengan instruksi tentang cara memindahkan dana tanpa terdeteksi, menambahkan lapisan kompleksitas pada situasi tersebut.

Aset yang dicuri, yang mencakup jumlah yang signifikan dari WETH, WBTC, bLUSD, crvUSD, sDAI, CRV, DAI, USDT, dan sUSDe, saat ini berada di dua alamat. Total kerugian yang diperkirakan sekitar $23 juta.

Kripto Hacker Bersiap Melampaui 2023 dengan Pencurian Terbesar pada 2024

UwU Lend, yang beroperasi sebagai pasar likuiditas yang memungkinkan pengguna untuk menyetor dan meminjam aset digital, telah memastikan kepada pengguna bahwa peretasan itu tidak memengaruhi sebagian besar aset yang disetor, termasuk SIFU, VOLTA, FRAX, dan beberapa pasar lainnya.

Audit UwuLend oleh Peckshield sebelumnya menggambarkan kode sebagai “terdesain dan terstruktur dengan baik,” tanpa adanya isu-isu berat atau kritis yang terdeteksi.

Hacker crypto mungkin akan melampaui 2023 mengenai aset digital yang dicuri. Pada kuartal pertama 2024, para hacker mencuri aset digital senilai $542.7 juta, peningkatan 42% dibandingkan dengan periode yang sama di 2023.

Lonjakan dana yang dicuri dapat dikaitkan dengan peningkatan valuasi mata uang kripto, yang semakin menarik pelaku jahat sejak awal 2024. Seiring dengan meningkatnya nilai aset digital, maka semakin besar pula insentif bagi para peretas untuk mengeksploitasi kerentanan dalam ekosistem kripto.

Ikuti Kami di Google News