by cryptoblog Sumber : Rekt News
Sepuluh besar pencuri.
$34 juta yang diambil dari Vee Finance memberi mereka posisi nomor 7 di papan peringkat kami.
Seiring meningkatnya popularitas AVAX, tingkat kejahatannya juga meningkat. Ini adalah kerugian substansial kedua pada jaringan Avalanche bulan ini.
Pada tanggal 12 September Zabu Finance kehilangan ~$3,2 juta; jumlah yang kecil dibandingkan dengan kerugian hari ini, namun masih merupakan hasil yang besar bagi mereka yang tidak terbiasa dengan drama DeFi.
Apa yang normal bagi kita tidak normal di tempat lain.
34 juta dolar dicuri, tapi cerita ini hanyalah salah satu dari banyak.
Berikut ini diambil dari (pertama) resmi post-mortem.
Alamat ETH Exploiter: 0xeeee458c3a5eaafcfd68681d405fb55ef80595ba
Alamat Exploiter AVAX: 0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA
Alamat Ethereum pengeksploitasi didanai melalui TornadoCash dalam tiga lot 10 ETH: SATU, DUA, TIGA.
Dana tersebut kemudian dijembatani ke Avalanche, di mana penyerang menukar 26.999006274904347875 WETH.e untuk 1.369.708 AVAX melalui Trenggiling.
Penyerang kemudian menyebarkan kontrak eksploit 1 dan menggunakannya untuk menukar AVAX terlebih dahulu dengan token yang ditargetkan, kemudian membuat pasangan perdagangan berikut:
QI/WETH.e
XAVA//WETH.e
LINK.e/WETH.e
QI/LINK.e
XAVA/LINK.e
XAVA/WBTC.e
LINK.e/WBTC.e
Setelah kontrak serangan didanai dengan 20 AVAX di 5 alamat, persiapan selesai dan eksekusi eksploit dapat dimulai.
Setelah awalnya gagal karena kehabisan bahan bakar, penyerang dapat menggunakan kontrak dinamis untuk melakukan perdagangan dengan leverage pada pasangan QI/WETH.e, sebelum gagal lagi.
Setelah menerapkan kontrak serangan baru, langkah yang sama digunakan, kali ini berhasil.
Perdagangan berulang dari USDT.e ke ETH.e dilakukan melalui AugustusSwapper.
Dan serangan ketiga dikerahkan.
Selama perdagangan dengan leverage, Vee Finance menggunakan oracle harga sumber tunggal: harga aset di kumpulan Trenggiling. Melalui perdagangan antara pasangan yang baru dibuat ini, penyerang dapat memanipulasi harga yang dirujuk oleh Vee Finance.
Manipulasi ini, bersama dengan fakta bahwa perolehan harga tidak diproses untuk desimal, memungkinkan persetujuan transaksi yang biasanya tidak lolos pemeriksaan slippage protokol.
Untuk analisis mendalam tentang eksploitasi, lihat post-mortem kedua Vee Finance hari ini.
Dana yang dicuri dijembatani kembali ke Ethereum selama dan setelah serangan, melalui serangkaian lebih dari 100 transaksi, misalnya transaksi ini.
Dompet Ethereum pengeksploitasi saat ini memiliki total 214 WBTC ($9,3 M) dan 8.804 WETH ($26,9M)
Menurut laporan insiden Vee Finance “Tim VEE secara aktif bekerja untuk mengklarifikasi lebih lanjut insiden tersebut dan akan terus mencoba menghubungi penyerang untuk memulihkan aset” dan meminta peretas untuk mengambil hadiah bug.
Tim mengirim transaksi ke alamat pengeksploitasi di Ethereum dan Longsor, dengan pesan berikut, juga dibagikan di Twitter:
Halo, ini tim vee.finance. Kami bersedia meluncurkan program hadiah bug untuk bug yang Anda identifikasi, silakan hubungi kami melalui [email protected].
Transaksi masuk lainnya juga berisi pesan, mulai dari peringatan:
Alamat Anda telah ditangkap oleh tim
Untuk promosi diri:
Halo ini @yannickcrypto, ikuti saya di twitter https://twitter.com/yannickcrypto_
Untuk langsung mengemis on-chain:
Orang besar, kirimkan saya beberapa untuk orang miskin yang tidak mampu makan
Pada saat pers, masih belum ada tanggapan dari Big Man.
Vee Finance mengabaikan rekomendasi yang diberikan dalam audit Slowmist mereka, dan audit Certik mereka juga tidak banyak membantu.
Setiap proyek yang muncul dalam “kelompok pompa” seperti ini tidak berjalan dengan baik sama sekali.
Akankah kita melihat pemulihan berbentuk vee, atau apakah semua nilainya benar-benar lenyap?
(Harap pertimbangkan tugas penulis anonim Anda saat memberi nama protokol Anda)
