TLDR
UwU Lend, protokol keuangan terdesentralisasi (DeFi), diretas hampir $20 juta pada hari Senin, 10 Juni.
Serangan ini pertama kali ditemukan oleh perusahaan keamanan on-chain Cyvers, yang memberi tahu UwU Lend tentang eksploitasi yang sedang berlangsung.
Penyerang menggunakan pinjaman flash untuk memanipulasi feed harga dan mengeksploitasi kerentanan dalam sistem oracle harga protokol.
Salah satu pendiri UwU Lend Michael Patryn, juga dikenal sebagai 0xSifu, menawarkan hadiah 20% kepada peretas (sekitar $4 juta) untuk mengembalikan sisa dana yang dicuri.
Insiden ini menyoroti kerentanan dalam platform DeFi dan perlunya langkah-langkah keamanan yang lebih kuat untuk mencegah serangan serupa di masa depan.
Protokol keuangan terdesentralisasi (DeFi) UwU Lend telah menjadi korban terbaru dari peretasan mata uang kripto besar-besaran, dengan penyerang menyedot aset digital senilai hampir $20 juta pada hari Senin, 10 Juni.
Peretasan @UwU_Lend hari ini menyebabkan kerugian $19,4 juta.
Akar penyebabnya adalah masalah harga Oracle. Secara khusus, aset sUSDe diberi harga sebagai median dari berbagai sumber. Lima di antaranya, yaitu FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD, dan GHOUSDe, dimanipulasi selama peretasan.
Yang dicuri… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield) 10 Juni 2024
Eksploitasi yang sedang berlangsung pertama kali ditemukan oleh perusahaan keamanan on-chain Cyvers, yang segera memberi tahu UwU Lend tentang serangan tersebut.
Dalam postingan di platform media sosial X (sebelumnya Twitter), Cyvers menulis, “Hai @UwU_Lend, Anda diserang! Sejauh ini alamatnya mendapat sekitar $14 juta…” Saat serangan itu terjadi, jumlah total yang dicuri dengan cepat melampaui angka $20 juta, menjadikannya salah satu peretasan kripto paling signifikan tahun ini.
????ALERT????Hai @UwU_Lend, Anda diserang!
Sejauh ini alamatnya mendapat sekitar $14 juta
Pembaruan lebih lanjut akan menyusul!
Silakan hubungi kami untuk mempelajari cara mengamankan aset digital Anda#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Peringatan Cyvers ???? (@CyversAlerts) 10 Juni 2024
UwU Lend, sebuah protokol yang memungkinkan pengguna menyimpan dan meminjam mata uang kripto, didirikan pada September 2022 oleh Michael Patryn, juga dikenal sebagai 0xSifu.
Patryn adalah tokoh kontroversial di dunia kripto, terkenal karena ikut mendirikan bursa QuadrigaCX yang sekarang sudah tidak ada lagi.
Meskipun sejarahnya relatif singkat, UwU Lend telah mengumpulkan Total Value Locked (TVL) sebesar $91 juta sebelum dieksploitasi.
Investigasi yang dilakukan oleh perusahaan keamanan blockchain Cyvers dan Beosin telah mengungkapkan bahwa penyerang menggunakan strategi canggih untuk melakukan pencurian.
Dengan memanfaatkan pinjaman flash, peretas dapat memanipulasi harga stablecoin protokol, USDe, dan versi sintetisnya, sUSDe.
Manipulasi ini memungkinkan penyerang mengeksploitasi kerentanan kritis dalam sistem oracle harga UwU Lend, sehingga memungkinkan mereka menguras dana protokol.
Akar penyebab eksploitasi, menurut Matthew Jiang, direktur layanan keamanan di Blocksec, adalah blockchain Oracle yang dirancang secara tidak tepat.
Oracles adalah komponen penting dari platform DeFi, yang bertanggung jawab untuk menyediakan data harga yang akurat ke protokol. Ketika sistem ini tidak diamankan atau dirancang secara memadai, sistem tersebut akan menjadi target utama penyerang yang ingin mengeksploitasi kelemahan dan mencuri dana.
Setelah serangan tersebut, salah satu pendiri UwU Lend, Michael Patryn, mengambil pendekatan yang tidak konvensional untuk mendapatkan kembali dana yang dicuri. Patryn, yang memiliki masa lalu yang buruk di industri kripto, mengirim pesan blockchain kepada peretas, menawarkan hadiah 20% (sekitar $4 juta) sebagai imbalan atas pengembalian 80% sisa aset yang dicuri.
Pesan tersebut juga mencakup ancaman untuk mengejar peretas “dari segala sudut” jika mereka tidak mematuhi tawaran tersebut paling lambat tanggal 12 Juni pukul 17:00 UTC.
Meskipun tawaran bounty seperti ini biasa terjadi di dunia kripto, tawaran tersebut jarang diterima oleh peretas. Namun, ada beberapa kasus di mana penyerang mengembalikan sebagian dana yang dicuri sebagai tanggapan terhadap proposal serupa.
Pos Anda Sedang Diserang! Pinjaman UwU Kehilangan $20 Juta dalam Serangan Pinjaman Flash muncul pertama kali di Blockonomi.
