Gym network kena hack US$2 juta hilang

Sumber : Rekt News

Gym Network menawarkan “latihan sempurna untuk token Anda”, tetapi telah mendorong dirinya sendiri ke kegagalan.

Fitur yang baru-baru ini diperkenalkan menyebabkan kerugian $2,1 juta dari proyek, membuat harga GYMNET jatuh karena token yang dicuri dijual.

Pengumuman resmi menyatakan bahwa tim telah memperbaiki masalah ini dan berencana untuk memulihkan kerugian.

Dua audit proyek selesai bulan lalu.

Mengapa memperkenalkan kode baru begitu cepat dan berisiko cedera?

Kredit: Peckshield, Beosin

Agregator hasil berbasis BSC, yang dibangun di atas Alpaca Finance, memperkenalkan fitur “Klaim dan Kumpulan” yang rentan dalam Kontrak Kumpulan Tunggal yang diperbarui dua hari lalu.

Peckshield menyatakan bahwa:

Bug ini disebabkan kurangnya verifikasi penelepon, yang dimanfaatkan untuk menambah saldo tanpa melakukan pembayaran apa pun.

Ini memungkinkan peretas untuk membuat setoran palsu ke kontrak, yang diproses meskipun penyerang tidak menghabiskan koin apa pun. Peretas kemudian dapat dengan mudah menarik saldo deposit yang dikreditkan secara palsu.

Alamat pengeksploitasi: 0xb2c035eee03b821cbe78644e5da8b8eaa711d2e5

Contoh exploit tx: 0x8432c1…

Penyerang didanai melalui Tornado Cash, dan kontrak eksploitasi mereka menukar GYMNET yang dicuri menjadi total ~7,5k BNB.

2rb BNB (~$570rb) dikirim ke Tornado Cash

3k BNB (~$855k) tetap berada di alamat BSC pengeksploitasi

2.5k BNB ditukar ke 387 ETH (~$700k) dan dijembatani ke alamat ETH

Gym Network dengan cepat mengkonfirmasi sumber kerentanan, memposting pesan berikut di grup Telegram mereka.

Meskipun GYMNET turun ~90% karena pengeksploitasi membuang token yang dicuri, GYMNET telah pulih hingga ~70% dari harga pra-retasnya.

Proyek ini telah diaudit oleh Certik dan Peckshield pada bulan Mei, namun kode yang salah diperkenalkan dua hari yang lalu.

Mengapa melakukan dua audit jika Anda akan mengubah basis kode sebulan kemudian?

Apakah ini rencana selama ini?

Popularitas BSC di kalangan pengguna ritel telah menyebabkan banyak proyek berbiaya rendah dengan keamanan yang lemah, dan beberapa proyek telah rekt beberapa kali.

Tetapi waktu peretasan ini datang pada saat Binance sendiri menjadi sorotan, dengan tekanan datang dari berbagai bidang.

Pada hari Senin, dilaporkan bahwa penyelidikan SEC sedang berlangsung untuk mengetahui apakah peluncuran BNB sama dengan penjualan sekuritas yang tidak terdaftar.

Pada hari yang sama, artikel hit Reuters diterbitkan dengan mengklaim bahwa Binance adalah “pusat peretas, penipu, dan pengedar narkoba”.

Pada saat para kritikus merasa dibenarkan oleh runtuhnya Luna dan UST, narasi bahwa crypto hanya untuk uang kotor adalah hal yang menggoda untuk didorong oleh outlet media arus utama.

Namun, Binance telah menerbitkan transkrip email yang menunjukkan kurangnya kemauan untuk bekerja sama di pihak jurnalis Reuters yang lalai membagikan informasi yang diperlukan bagi tim Binance untuk menyelidiki klaim mereka.

Sementara pasar turun dan sikap apatis bear-market mengambil alih, jelas bahwa mereka yang tidak menyetujui crypto sedang bergerak.

Musim kera sudah benar-benar berakhir, dan musim FUD sedang berjalan lancar.

Namun di antara semua malapetaka dan kesuraman, penting untuk diingat bahwa ini bukan rodeo pertama kami…

Kemajuan tidak akan linier. Akan ada rintangan; pembatasan, penipuan, dan kehancuran pasar.

Namun, visi bersama adalah kuncinya.

Setelah semua … tidak ada rasa sakit, tidak ada keuntungan.

Leave a Reply