- Seorang peretas topi putih telah mengembalikan $1.6 juta yang dieksploitasi dari Tender.fi.
- Peretasan terjadi awal pekan ini menyusul kesalahan dalam oracle harga Chainlink.
- Peretas diberi hadiah sebesar 62.15 ETH ($98,000) atas bantuan mereka dalam mengamankan platform.
Keuangan terdesentralisasi (DeFi) protokol Tender.fi telah utuh berkat peretas yang mengembalikan $1.6 juta yang dieksploitasi dari platform awal pekan ini. Peretas topi putih melihat kesalahan dalam oracle harga Tender.fi, yang memungkinkan mereka untuk meminjam jumlah yang signifikan dengan setoran sederhana.
Menurut laporan post-mortem yang diterbitkan oleh Tender.fi hari ini, protokol peminjaman DeFi telah meningkatkan umpan harganya ke oracle harga Chainlink pada 6 Maret, sehari sebelum eksploitasi. Umpan harga baru berasal dari harga token GMX dari Chainlink, bukan harga rata-rata tertimbang waktu (TWAP). Kode baru dilaporkan diaudit oleh firma intelijen blockchain PeckShield.
Namun, oracle harga Chainlink mengalami kesalahan, sehingga peretas dapat menyetor satu token GMX senilai hampir $70 pada saat itu dan meminjam $1.6 juta dari deposit tersebut. Kesalahan desimal dalam kontrak Soliditas menyebabkan kontrak menganggap jaminan 1 GMX memiliki nilai lebih di Tender.fi daripada semua Bitcoin yang ada.
Topi putih meninggalkan pesan berantai untuk protokol setelah meminjam sejumlah besar uang yang berbunyi, “Sepertinya oracle Anda salah konfigurasi. Hubungi saya untuk menyelesaikan ini.” Tim Tender.fi menjangkau peretas melalui DeBank dan menegosiasikan pembayaran kembali pinjaman besar-besaran dengan imbalan hadiah 62.15 ETH senilai hampir $100,000 pada saat itu.
Protokol peminjaman DeFi turun ke Twitter hari ini untuk memberi tahu komunitasnya bahwa mereka telah melanjutkan semua layanan peminjaman. Tender.fi menangguhkan fitur peminjaman sehubungan dengan eksploitasi pada 7 Maret
Sumber: https://coinedition.com/tender-fi-white-hat-hacker-returns-1-6-million-loot-for-62-15-eth/