Peretas mengeksploitasi kerentanan kontrak cerdas Level Finance untuk menguras 214.000 token LVL dari bursa terdesentralisasi dan menukarnya dengan 3.345 BNB, senilai sekitar $1.100.000.
Sementara Level Finance mengatakan serangan itu tidak memengaruhi kumpulan likuiditasnya dan perbendaharaan DAO, dan eksploit diisolasi dari semua kontrak lain, token LVL kehilangan sekitar 50% nilainya segera setelah serangan itu diketahui.
Perusahaan telah berjanji untuk memberikan pembaruan tentang situasi segera setelah penyelidikan mengungkapkan lebih banyak. DAO sejak itu merilis proposal meminta suara tentang bagaimana komunitas harus menangani token LVL 214K yang ditambahkan ke sirkulasi oleh serangan itu.
Keamanan blockchain dan perusahaan analitik data PeckShield menjelaskan bahwa smart contract yang dilanggar, ‘LevelReferralControllerV2,’ memiliki bug logika dalam fungsi claimMultiple yang memungkinkan pengguna untuk berulang kali mengklaim hadiah rujukan dalam kurun waktu (periode waktu) yang sama.
Auditor kontrak pintar BlockSec telah mencapai kesimpulan yang sama, menambahkan bahwa peretas telah mencoba mengeksploitasi kelemahan tersebut beberapa kali sejak minggu lalu dan gagal.
“Khusus claim reward ditentukan oleh tier referral dan reward point, maka attacker melakukan persiapan sebagai berikut: 1) membuat dan mengatur banyak referral; 2) menggunakan flashloan untuk melakukan puluhan swap (reward diupdate di postSwap fungsi),” jelas BlockSec di Twitter.
Penyerang membuat beberapa akun rujukan untuk memaksimalkan hadiah yang bisa mereka peroleh dengan mengeksploitasi bug kontrak pintar.
Flashloans (pinjaman dan pengembalian transaksi tunggal) digunakan untuk memperkuat hadiah referensi lebih lanjut, memungkinkan penyerang untuk melakukan lusinan pertukaran dari satu token ke token lainnya, mendapatkan hadiah untuk tindakan tersebut setiap saat.
Akhirnya, penyerang melakukan langkah yang benar kemarin dan meluncurkan peretasan yang menghasilkan $1,1 juta.
Diaudit bukan berarti aman
Meskipun Level Finance melakukan yang terbaik untuk melindungi aset dengan memesan dua audit dari perusahaan independen, peretas masih menemukan cara untuk mengeksploitasi kode untuk mencuri uang menggunakan bug yang terlewatkan.
Namun, sementara Level Finance diaudit dua kali pada tahun 2023, tidak jelas apakah fungsi rentan tersebut diaudit atau ditambahkan setelahnya.
Audit keamanan tidak antipeluru dan tidak harus diperlakukan sebagai jaminan keselamatan dan keamanan seperti yang telah kita lihat berkali-kali di masa lalu.
Minggu lalu, DEX Merlin disusupi karena “kesalahan besar dalam integritas struktural dan kontrol platform,” kehilangan $1,82 juta orang dalam nakal itu terkuras dari kolam likuiditasnya. Ini terjadi hanya beberapa hari setelah DEX Merlin diumumkan audit yang sukses oleh firma keamanan blockchain CertiK.
Tahun lalu, platform musik terdesentralisasi Audius kehilangan token senilai $6 juta setelah penyerang mengeksploitasi kelemahan dalam sistem yang telah menjalani dua penilaian keamanan mendalam dari auditor terpisah sejak diperkenalkan.
