Berita PANews 2 Desember, menurut Cointelegraph, bursa terdesentralisasi (DEX) Clipper mengonfirmasi bahwa serangan peretasan sebesar 450 ribu dolar AS yang baru-baru ini terjadi berasal dari kerentanan fungsi penarikan, bukan kebocoran kunci pribadi seperti yang diperkirakan sebelumnya.
Menurut pernyataan Clipper pada 1 Desember di platform X, penyerang memanfaatkan kerentanan di dua kolam likuiditas, mengambil sekitar 6% dari total nilai terkunci (TVL). Saat ini, kerentanan tersebut telah diperbaiki, dan kolam likuiditas lainnya tidak terpengaruh. Clipper menyatakan bahwa serangan ini melibatkan 'fungsi penarikan token tunggal' (transaksi tukar dan penarikan yang terikat), dan fungsi tersebut kini telah dinonaktifkan. Tim Clipper sedang melakukan penyelidikan menyeluruh dan telah menangguhkan fungsi pertukaran dan setoran dari protokol, tetapi fungsi penarikan tetap tersedia, asalkan dilakukan dalam bentuk kombinasi semua aset di dalam kolam.
Menurut pendiri bersama perusahaan keamanan Fuzzland, Chaofan Shou, serangan tersebut mungkin melibatkan kerentanan API, yang memungkinkan penyerang untuk menandatangani permintaan setoran dan penarikan yang dipalsukan, sehingga mencuri dana. Clipper secara tegas membantah adanya hubungan dengan kebocoran kunci pribadi dan menyatakan bahwa asumsi tersebut tidak sesuai dengan arsitektur keamanannya.
Saat ini, Clipper telah mulai melacak dana yang dicuri dan mengirimkan permintaan kontak kepada penyerang untuk mencoba memulihkan aset.