Kumpulan likuiditas token SafeMoon kehilangan $8,9 juta setelah seorang peretas mengeksploitasi fungsi kontrak pintar ‘membakar’ yang baru dibuat yang secara artifisial menaikkan harga, memungkinkan para pelaku untuk menjual SafeMoon dengan harga yang jauh lebih tinggi.
Kumpulan likuiditas di platform DeFi adalah simpanan dana besar (cryptocurrency) yang memfasilitasi perdagangan, menyediakan likuiditas pasar, dan umumnya memungkinkan pertukaran berfungsi tanpa meminjam dari pihak ketiga.
SafeMoon mengonfirmasi insiden keamanan hari ini di Twitter dan menyatakan bahwa saat ini sedang berupaya menyelesaikan masalah tersebut.
CEO SafeMoon, John Karony, menyatakan bahwa serangan tersebut terjadi pada Selasa, 28 Maret, yang memengaruhi kumpulan likuiditas SFM: BNB tetapi tidak pada pertukaran platform.
“Kami telah menemukan dugaan eksploit, menambal kerentanan, dan melibatkan konsultan forensik berantai untuk menentukan sifat dan tingkat eksploit yang tepat,” membaca pernyataan Karony.
“Pengguna harus diyakinkan bahwa token mereka tetap aman. Saya ingin meyakinkan Anda bahwa kumpulan LP lain di DEX tidak terpengaruh, begitu juga dengan peningkatan dan rilis kami yang akan datang.”
Eksploitasi detail
Pakar keamanan Blockchain PeckShield telah berbagi rincian lebih lanjut tentang kerentanan yang dieksploitasi oleh peretas untuk melakukan pencurian $9 juta terhadap SafeMoon.
Berdasarkan PeckShield, pembaruan terkini memperkenalkan fungsi kontrak pintar SafeMoon baru yang membakar token. Sayangnya, fungsi tersebut salah disetel ke publik tanpa batasan, memungkinkan siapa saja untuk menjalankannya sesuai keinginan.
Karony sebelumnya menyatakan bahwa sistem ini hanya akan digunakan untuk keadaan darurat, seperti ketika kumpulan likuiditas akan menghadapi risiko dengan kontrak pintar yang berbahaya, selip yang berlebihan, dan kerugian sementara lainnya.
Peretas menggunakan fungsi tersebut untuk membakar token SafeMoon dalam jumlah besar, menyebabkan harga token melonjak.
Segera setelah harga naik, alamat lain menjual SafeMoon dengan harga yang dimanipulasi, menghabiskan $8,9 juta dari kumpulan likuiditas SafeMoon:WBNB.
Beberapa jam setelah serangan, aktor yang mengonversi SafeMoon ke BNB mengklaim bahwa mereka bukanlah peretas awal tetapi “secara tidak sengaja melakukan front run” setelah harga dinaikkan secara artifisial karena eksploitasi fungsi burn().
Meskipun tidak jelas apakah pemilik dompet ini adalah orang yang sama yang mengeksploitasi bug tersebut menawarkan untuk mengembalikan dana yang dicuri ke SafeMoon.
“Hei santai, kami secara tidak sengaja melancarkan serangan terhadap Anda, kami ingin mengembalikan dana, menyiapkan saluran komunikasi yang aman, mari kita bicara,” kata komentar yang ditambahkan ke transaksi.
Sejak saat itu, orang tersebut telah mentransfer 4.000 Binance Coins (BNB), senilai $1.264.440,00, ke alamat lain, membuat frontrun terlihat tidak terlalu disengaja.
