Seorang peretas berhasil menguras lebih dari $6 juta dari protokol keuangan terdesentralisasi (DeFi) Delta Prime dengan mencetak sejumlah besar token tanda terima setoran.

Menurut data dari penjelajah blok Arbiscan, penyerang mencetak lebih dari 115 duovigintillion token Delta Prime USD (DPUSDC) dalam serangan awal, yang lebih dari 1,1*10^69 dalam notasi ilmiah.

DPUSDC adalah tanda terima setoran untuk stablecoin USDC (USDC) yang disimpan di Delta Prime. Ini dimaksudkan untuk dapat ditebus dengan rasio 1:1 untuk USDC.

Meskipun telah mencetak begitu banyak kwitansi setoran USDC, penyerang hanya membakar 2,4 juta di antaranya dan menerima $2,4 juta stablecoin USDC sebagai gantinya.

Penyerang mencetak sejumlah besar token DPUSDC dan menebus sebagiannya. Sumber: Arbiscan.

Penyerang kemudian mengulangi langkah-langkah ini untuk token tanda terima setoran lainnya, mencetak lebih dari 1 duovgintillion Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion Delta Prime Wrapped Ether (DPWETH), 115 octodecillion Delta Prime Arbitrum (DPARB), dan banyak token tanda terima setoran lainnya, yang akhirnya menebus sebagian kecil dari jumlah yang dicetak untuk menerima lebih dari $1 juta dalam Bitcoin (BTC), Ether (ETH), Arbitrum (ARB), dan token lainnya.

Menurut spesialis keamanan blockchain Chaofan Shou, penyerang telah mencuri dana sekitar $6 juta sejauh ini.


Sumber: Chaofan Shu.

Penyerang dapat mencetak token tanda terima setoran ini dengan terlebih dahulu menguasai akun admin yang diakhiri dengan b1afb, yang kemungkinan besar dilakukan dengan mencuri kunci pribadi pengembang. Dengan menggunakan akun ini, mereka memanggil fungsi "peningkatan" pada setiap kontrak kumpulan likuiditas protokol.

Fungsi-fungsi ini dimaksudkan untuk digunakan dalam pemutakhiran perangkat lunak. Fungsi-fungsi ini memungkinkan pengembang untuk mengubah kode dalam kontrak dengan mengarahkan proksinya ke alamat implementasi yang berbeda.

Namun, penyerang menggunakan fungsi-fungsi ini untuk mengarahkan setiap proxy ke kontrak jahat yang telah dibuat oleh penyerang. Setiap kontrak jahat memungkinkan penyerang untuk mencetak sejumlah besar tanda terima setoran, yang secara efektif memungkinkan mereka menguras setiap kumpulan dana.

Penyerang Delta Prime meningkatkan kontrak. Sumber: Arbiscan.

Delta Prime mengakui serangan tersebut dalam posting X, yang menyatakan bahwa “Pada pukul 6:14 AM CET DeltaPrime Blue (Arbitrum) diserang dan dikuras hingga $5,98 juta.”

Diklaim bahwa versi Avalanche, DeltaPrime Blue, tidak rentan terhadap serangan tersebut. Dinyatakan pula bahwa asuransi protokol tersebut “akan menanggung potensi kerugian jika memungkinkan/diperlukan.”

Serangan Delta Prime menggambarkan risiko protokol DeFi menggunakan kontrak yang dapat ditingkatkan.

Ekosistem Web3 dirancang untuk mencegah peretasan kunci pribadi yang mengeksploitasi seluruh protokol.

Secara teori, penyerang harus mencuri kunci pribadi setiap pengguna untuk menguras seluruh protokol. Namun, ketika kontrak dapat ditingkatkan, hal itu menimbulkan risiko sentralisasi, yang dapat menyebabkan seluruh basis pengguna kehilangan dananya.

Meski begitu, beberapa protokol percaya bahwa melepaskan kemampuan untuk melakukan pemutakhiran mungkin lebih buruk daripada alternatifnya, karena dapat mencegah pengembang memperbaiki bug yang ditemukan setelah penerapan. Pengembang Web3 terus berdebat kapan protokol harus dan tidak boleh mengizinkan pemutakhiran.

Eksploitasi kontrak pintar terus menimbulkan risiko bagi pengguna Web3. Pada 11 September, seorang penyerang menguras lebih dari $1,4 juta dari kumpulan likuiditas token CUT menggunakan baris kode yang tidak jelas yang mengarah ke fungsi yang belum diverifikasi pada kontrak terpisah.

Pada tanggal 3 September, lebih dari $27 juta terkuras dari protokol Penpie setelah penyerang berhasil mendaftarkan kontrak jahat mereka sendiri sebagai pasar token.