by cryptoblog Sumber : Rekt News
Membangun jembatan adalah bisnis yang berbahaya.
Serangan lain membuat $4.4M diambil dari Meter.io di BSC, membuat Hundred Finance kehilangan $3.3M sebagai jaminan kerusakan.
Ini adalah serangan jembatan ke-7 di papan peringkat kami, menunjukkan tren kriminalitas lintas rantai yang meningkat.
Berapa lama waktu yang dibutuhkan untuk menyempurnakan teknologi dan menghentikan kerugian ini?
Meteran sedang berjalan.
Kredit: @ishwinder
Serangan dimulai pada ~6am PST pada tanggal 5 Februari, ketika penyerang dengan jahat mencetak sejumlah besar token BNB dan WETH, menghabiskan cadangan jembatan BNB dan wETH sebelum semua transaksi jembatan dapat dihentikan oleh Meter.
Meter_io Passport adalah cabang dari ChainBridge ChainSafe, tetapi dengan satu perubahan diperkenalkan ke metode deposit Handler ERC20.
Perubahan ini pada dasarnya mengasumsikan bahwa jika token yang dijembatani dibungkus dengan Token asli maka token tersebut tidak akan dibakar atau dikunci karena token Asli yang dibungkus sudah dibuka dan jumlah yang ditransfer ke kontrak handler.
Asumsi ini berlaku untuk salah satu metode deposit depositEth yang juga menegaskan nilai jumlah dalam calldata (yang kemudian akan diteruskan ke metode deposit handler):
Namun anggapan tersebut tidak berlaku untuk metode penyetoran lain dalam kontrak yang sama yang sebagian besar tidak dijaga.
Peretas memperhatikan hal ini dan mengirimkan jumlah yang berubah-ubah dalam data panggilan, yang diteruskan ke setoran pawang.
Hasil curian kemudian dipindahkan ke Tornado Cash di beberapa transaksi selama satu jam.
Serangan ini menciptakan kerusakan tambahan.
Hundred Finance kehilangan $3,3 juta karena ketergantungan mereka pada jembatan Meter.
Ratusan mengumumkan kerugian dalam sebuah tweet.
Hari ini penyebaran @MoonriverNW Hundred Finance dipengaruhi oleh serangan jembatan pada @Meter_IO yang mengakibatkan depresiasi lokal pada harga BNB.bsc.
Akun dapat membeli BNB.bsc dengan harga yang lebih rendah dan menggunakan token ini sebagai jaminan dengan harga Chainlink global untuk meminjam aset tanpa kompromi di platform kami. Dari jumlah tersebut, MIM dan FRAX saat ini terpengaruh.
Kami ingin meminta agar pemilik akun yang melakukannya mempertimbangkan untuk mengembalikan aset yang dipinjam sehingga pengguna lain dapat mengakses likuiditas mereka. 1 ak. pemegang telah melakukannya dan kami bersedia membayar hadiah lebih lanjut ke 3 sisanya untuk melakukan hal yang sama.
Kami berbicara dengan pendiri Hundred Finance, vfat:
rekt:
Apakah Hundred Finance akan membuat perubahan setelah kejadian ini? Anda menyebutkan bahwa Anda bekerja dengan Meter menuju kemungkinan resolusi – dapatkah Anda memberikan detail lebih lanjut?
vfat:
Halo, jadi ya tentu saja ini adalah masalah yang kita semua sadari, setiap rantai / jembatan baru yang kita tambahkan memiliki risikonya sendiri, dan protokol peminjaman adalah target alami bagi penyerang jembatan.
Kami menggunakan Meter karena mereka adalah sumber utama BTC yang dibungkus di Moonriver, ini dikombinasikan dengan jembatan asli dan Multichain menempatkan kami di 3 jembatan pada rantai itu yang merupakan maksimum yang akan kami gunakan. Ke depan, kami akan lebih ketat dalam hal ini, dan mempublikasikan informasi lebih rinci tentang jembatan mana yang digunakan untuk aset mana. Kami juga akan melihat pemantauan ekstra untuk kemungkinan serangan seperti ini.
Meter tentu saja telah menerima tanggung jawab atas peretasan ini dan berniat untuk menggunakan token asli mereka untuk penggantian sejauh yang mereka bisa, saat ini kami sedang dalam tahap pengumpulan alamat dan jumlah.
Satu hal yang menarik adalah bahwa ada 4 pinjaman oportunistik di Seratus total, tetapi 2 yang pertama telah dilunasi, jadi masih ada sedikit harapan untuk 2 lainnya.
Kerugian saat ini bagi Seratus pengguna adalah $3,3 juta.
Pembayaran sukarela dari “pinjaman oportunistik” yang diambil pada Hundred Finance adalah pemandangan yang langka untuk dilihat, dan patut dipuji bahwa Meter menerima tanggung jawab penuh atas semua kerugian.
Meter mengklaim memiliki beberapa bukti mengenai identitas peretas, dan telah menyatakan bahwa mereka bekerja dengan pihak berwenang untuk membawa keadilan.
Namun, kejahatan on-chain jarang memiliki konsekuensi off-chain, dan tidak akan lama sampai kita melihat serangan lain dari jenis ini.
Akan ada lebih banyak serangan jembatan, dan lebih banyak pengguna akan kehilangan uang, tetapi pada akhirnya seseorang akan berhasil membangun jembatan yang aman.
Kami masih terlalu dini untuk bebas dari risiko, tetapi itu berarti lebih banyak peluang.
