Pengguna UwU Lend bersukacita pada hari Rabu setelah protokol pinjaman mengatakan mereka mampu mengganti sepenuhnya korban eksploitasi $23 juta baru-baru ini.
Namun perayaan mereka terhenti ketika pada pukul 7:46 pagi waktu London, peretas yang sama kembali untuk mengambil $3,7 juta lagi.
đšPeringatan Keamanan SlowMistđš
Kami telah mendeteksi bahwa @UwU_Lend kembali mengalami kerugian sebesar $3,72 juta.https://t.co/ttLSq0m18u
Seperti biasa, tetap waspada! pic.twitter.com/6tz2e5NDwx
â SlowMist (@SlowMist_Team) 13 Juni 2024
Meskipun UwU Lend menawarkan hadiah 20% kepada peretas â senilai $4 juta â untuk mengembalikan dana pengguna dari peretasan pertama.
Peretasan kedua terjadi setelah UwU Lend mengatakan dalam posting X tanggal 12 Juni bahwa pihaknya telah mengidentifikasi dan memperbaiki kerentanan di pasar sUSDe yang sebelumnya dieksploitasi oleh peretas.
âSemua pasar lainnya telah ditinjau ulang oleh para profesional industri dan auditor tanpa ditemukan masalah atau kekhawatiran,â kata protokol tersebut.
UwU Lend tidak menanggapi permintaan komentar.
UwU Lend mulai membayar kembali pengguna pada hari Rabu setelah eksploitasi senilai $23 juta memaksanya offline sementara.
Hingga pukul 5 pagi hari Kamis, protokol tersebut mengatakan telah mengembalikan sekitar $9,7 juta yang dicuri dalam peretasan pertama.
âProtokol ini akan melunasi semua utang yang tidak tertagih, secepat mungkin,â kata UwU Lend. âKami dengan senang hati mengumumkan bahwa tidak ada dana pengguna yang hilang karena proses ini.â
Pendiri UwU Lend yang kontroversial, Michael Patryn, yang lebih dikenal dengan nama samarannya 0xSifu, sebelumnya telah menawarkan untuk membatalkan tuntutan apa pun jika peretas mengembalikan 80% dari kripto yang dicuri, yang bernilai sekitar $18 juta.
serangan oracle
Pada hari Senin, seorang peretas menggunakan pinjaman kilat senilai $4 miliar untuk memanipulasi harga token tertentu di UwU Lend, yang memungkinkan mereka menguras protokol.
Pinjaman kilat adalah jenis transaksi DeFi di mana pengguna meminjam dana dari protokol peminjaman dan membayarnya kembali dalam transaksi yang sama.
Sementara pinjaman kilat kerap digunakan oleh pembuat pasar untuk melakukan arbitrase cepat atas perbedaan harga di pasar DeFi, pinjaman kilat juga memungkinkan eksploitasi yang memerlukan modal dalam jumlah besar untuk dilakukan.
Pendiri Circuit Martin Derka â yang ikut mengembangkan alat untuk mendeteksi eksploitasi berbasis pinjaman kilat saat berada di perusahaan keamanan kripto Quantstamp â mengatakan eksploitasi semacam itu terkenal di DeFi.
"Kerentanan semacam ini biasanya sangat sulit ditemukan selama audit kontrak pintar, karena memerlukan pengetahuan mendalam tentang berbagai protokol â protokol yang diaudit, dan protokol yang digunakan sebagai oracle," ungkapnya kepada DL News.
âJuga tidak ada cukup alat otomatis yang mampu menemukan kerentanan tersebut.â
Diluncurkan pada tahun 2022, UwU Lend merupakan cabang dari Aave, protokol pinjaman DeFi terbesar dengan simpanan sebesar $12,4 miliar.
Fork adalah saat tim pengembang menggunakan kode sumber terbuka dari protokol DeFi yang ada untuk meluncurkan protokol serupa â sering kali pada blockchain yang berbeda atau dengan perubahan kecil.
Namun, perubahan pada kode Aave memungkinkan peretas menguras UwU Lend. Protokol tersebut menggunakan oracle yang mudah dimanipulasi â perangkat lunak yang menyediakan harga berbagai token.
Token UWU UwU Lend turun 15% selama seminggu terakhir, dan diperdagangkan pada sekitar $2,70.
Aleks Gilbert adalah Koresponden DeFi di DL News. Punya informasi? Kirim email kepadanya di aleks@dlnews.com.
