Delta Prime attacker stole $6M by minting massive number of tokens

Cointelegraph · 2024-09-16T14:40:21.000Z

A hacker managed to drain over $6 million from the decentralized finance (DeFi) protocol Delta Prime by minting an arbitrarily large number of deposit receipt tokens. According to data from block explorer Arbiscan, the attacker minted over 115 duovigintillion Delta Prime USD (DPUSDC) tokens in the initial attack, which is more than 1.1*10^69 in scientific notation. DPUSDC is a deposit receipt for USDC (USDC) stablecoin held at Delta Prime. It is intended to be redeemable at a 1:1 ratio for USDC. Despite minting such a large number of USDC deposit receipts, the attacker only burned 2.4 million of them, receiving $2.4 million USDC stablecoin in exchange. Attacker minting a very large number of DPUSDC tokens and redeeming some of them. Source: Arbiscan. The attacker then repeated these steps for other deposit receipt tokens, minting over 1 duovgintillion Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion Delta Prime Wrapped Ether (DPWETH), 115 octodecillion Delta Prime Arbitrum (DPARB), and many other deposit receipt tokens, ultimately redeeming a tiny fraction of the amount minted to receive over $1 million in Bitcoin (BTC), Ether (ETH), Arbitrum (ARB), and other tokens. According to blockchain security specialist Chaofan Shou, the attacker has stolen an estimated $6 million in funds so far. Source: Chaofan Shu. The attacker was able to mint these deposit receipt tokens by first gaining control of an admin account ending in b1afb, which they likely accomplished by stealing the developer’s private key. Using this account, they called an “upgrade” function on each of the protocol’s liquidity pool contracts. These functions are intended to be used for software upgrades. They allow the developer to change the code in a contract by having its proxy point to a different implementation address. However, the attacker used these functions to point each proxy to a malicious contract that the attacker had created. Each malicious contract allowed the attacker to mint an arbitrarily large number of deposit receipts, effectively letting them drain each pool of funds. Delta Prime attacker upgrading contracts. Source: Arbiscan. Delta Prime acknowledged the attack in an X post, stating that “At 6:14 AM CET DeltaPrime Blue (Arbitrum) was attacked and drained for $5.98M.” It claimed that the Avalanche version, DeltaPrime Blue, is not vulnerable to the attack. It also stated that the protocol’s insurance “will cover any potential losses where possible/necessary.” The Delta Prime attack illustrates the risk of DeFi protocols using upgradeable contracts. The Web3 ecosystem is designed to prevent private key hacks from exploiting entire protocols. Theoretically, an attacker should need to steal the private keys of every user to drain the entire protocol. However, when contracts are upgradable, it introduces an element of centralization risk, which can lead to an entire userbase losing its funds. Even so, some protocols believe that giving up the ability to upgrade may be worse than its alternative, as it may prevent a developer from fixing bugs found after deployment. Web3 developers continue to debate when protocols should and should not allow upgrades. Smart contract exploits continue to pose a risk to Web3 users. On Sep. 11, an attacker drained over $1.4 million from a CUT token liquidity pool using an obscure line of code that pointed to an unverified function on a separate contract. On Sep. 3, over $27 million was drained from the Penpie protocol after the attacker successfully registered their own malicious contract as a token market.

Seorang peretas berhasil menguras lebih dari $6 juta dari protokol keuangan terdesentralisasi (DeFi) Delta Prime dengan mencetak sejumlah besar token tanda terima setoran.
Menurut data dari penjelajah blok Arbiscan, penyerang mencetak lebih dari 115 duovigintillion token Delta Prime USD (DPUSDC) dalam serangan awal, yang lebih dari 1,1*10^69 dalam notasi ilmiah.
DPUSDC adalah tanda terima setoran untuk stablecoin USDC (USDC) yang disimpan di Delta Prime. Ini dimaksudkan untuk dapat ditebus dengan rasio 1:1 untuk USDC.
Meskipun telah mencetak begitu banyak kwitansi setoran USDC, penyerang hanya membakar 2,4 juta di antaranya dan menerima $2,4 juta stablecoin USDC sebagai gantinya.
Penyerang mencetak sejumlah besar token DPUSDC dan menebus sebagiannya. Sumber: Arbiscan.
Penyerang kemudian mengulangi langkah-langkah ini untuk token tanda terima setoran lainnya, mencetak lebih dari 1 duovgintillion Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion Delta Prime Wrapped Ether (DPWETH), 115 octodecillion Delta Prime Arbitrum (DPARB), dan banyak token tanda terima setoran lainnya, yang akhirnya menebus sebagian kecil dari jumlah yang dicetak untuk menerima lebih dari $1 juta dalam Bitcoin (BTC), Ether (ETH), Arbitrum (ARB), dan token lainnya.
Menurut spesialis keamanan blockchain Chaofan Shou, penyerang telah mencuri dana sekitar $6 juta sejauh ini.

Sumber: Chaofan Shu.
Penyerang dapat mencetak token tanda terima setoran ini dengan terlebih dahulu menguasai akun admin yang diakhiri dengan b1afb, yang kemungkinan besar dilakukan dengan mencuri kunci pribadi pengembang. Dengan menggunakan akun ini, mereka memanggil fungsi "peningkatan" pada setiap kontrak kumpulan likuiditas protokol.
Fungsi-fungsi ini dimaksudkan untuk digunakan dalam pemutakhiran perangkat lunak. Fungsi-fungsi ini memungkinkan pengembang untuk mengubah kode dalam kontrak dengan mengarahkan proksinya ke alamat implementasi yang berbeda.
Namun, penyerang menggunakan fungsi-fungsi ini untuk mengarahkan setiap proxy ke kontrak jahat yang telah dibuat oleh penyerang. Setiap kontrak jahat memungkinkan penyerang untuk mencetak sejumlah besar tanda terima setoran, yang secara efektif memungkinkan mereka menguras setiap kumpulan dana.
Penyerang Delta Prime meningkatkan kontrak. Sumber: Arbiscan.
Delta Prime mengakui serangan tersebut dalam posting X, yang menyatakan bahwa “Pada pukul 6:14 AM CET DeltaPrime Blue (Arbitrum) diserang dan dikuras hingga $5,98 juta.”
Diklaim bahwa versi Avalanche, DeltaPrime Blue, tidak rentan terhadap serangan tersebut. Dinyatakan pula bahwa asuransi protokol tersebut “akan menanggung potensi kerugian jika memungkinkan/diperlukan.”
Serangan Delta Prime menggambarkan risiko protokol DeFi menggunakan kontrak yang dapat ditingkatkan.
Ekosistem Web3 dirancang untuk mencegah peretasan kunci pribadi yang mengeksploitasi seluruh protokol.
Secara teori, penyerang harus mencuri kunci pribadi setiap pengguna untuk menguras seluruh protokol. Namun, ketika kontrak dapat ditingkatkan, hal itu menimbulkan risiko sentralisasi, yang dapat menyebabkan seluruh basis pengguna kehilangan dananya.
Meski begitu, beberapa protokol percaya bahwa melepaskan kemampuan untuk melakukan pemutakhiran mungkin lebih buruk daripada alternatifnya, karena dapat mencegah pengembang memperbaiki bug yang ditemukan setelah penerapan. Pengembang Web3 terus berdebat kapan protokol harus dan tidak boleh mengizinkan pemutakhiran.
Eksploitasi kontrak pintar terus menimbulkan risiko bagi pengguna Web3. Pada 11 September, seorang penyerang menguras lebih dari $1,4 juta dari kumpulan likuiditas token CUT menggunakan baris kode yang tidak jelas yang mengarah ke fungsi yang belum diverifikasi pada kontrak terpisah.
Pada tanggal 3 September, lebih dari $27 juta terkuras dari protokol Penpie setelah penyerang berhasil mendaftarkan kontrak jahat mereka sendiri sebagai pasar token.

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Artikel yang Sedang Tren