Protokol otomatisasi hasil di Arbitrum dieksploitasi selama akhir pekan dalam insiden itu didorong saldo peretas dari stablecoin dolar AS Sperax (USDS) mereka.
Namun dalam plot twist, tim tersebut mengatakan pada hari Selasa bahwa semua dana telah dikembalikan – menunjuk ke $300,000 USDC . — dan bahwa Sperax akan segera memberikan garis waktu untuk melanjutkan transfer SperaxUSD.
Stablecoin “hybrid”, yang pertama kali memberi tahu penggunanya tentang serangan tersebut pada hari Minggu, menerbitkan sebuah laporan pada Senin malam yang merinci apa yang terjadi.
Meskipun dalam laporannya SperaxUSD menyebut orang tersebut sebagai "penyerang", tim telah mengatakan secara terpisah dalam tweet bahwa orang yang terkait dengan alamat tersebut adalah "bukan peretas,” dan berjanji untuk tidak mengambil tindakan apa pun jika dana dikembalikan.
Tim mengatakan pengeksploitasi memanfaatkan bug internal dalam kontrak token USDS untuk mengubah saldo menjadi 9.7 miliar pada dompet multi-sig.
Sebelum tim dapat memblokir kontrak, penyerang berhasil menukar sekitar $309,000 USD ke USDT, USDC, dan WETH.
SperaxUSD mengatakan bahwa pada 13 Desember, telah meningkatkan kontrak token untuk mengatasi masalah dalam perhitungan saldo, yang menyebabkan ketidaksesuaian dengan DEX.
Eksploitasi dimulai dengan penyerang mengirim dana ke alamat Aman Gnosis, dompet kontrak pintar multi-tanda tangan, yang memicu bug dalam kontrak token USD. Begitulah saldo melonjak menjadi 9.7 miliar token.
Penyerang kemudian mulai menjual USD di Arbitrum, kemungkinan 10,000 sekaligus. Sekitar tiga jam setelah penyerangan, tim SperaxUSD dapat menghentikan aksi tersebut.
Pemegang token USD memiliki dua jenis token: rebasing (di mana pasokan disesuaikan untuk mengendalikan harga) dan non-rebasing. Ini berarti bahwa saldo USD pemegang rebasing meningkat secara otomatis setelah rebase, yang dipicu setiap minggu.
“Meskipun semua kontrak yang kami kembangkan melalui beberapa putaran tinjauan dan pengujian menyeluruh, kami masih melewatkan kasus yang sulit ini. Kami merasa penyerang hanya bereksperimen dengan kontrak karena kode yang ditingkatkan tidak dipublikasikan, namun dia menemukan bug baru, itu bisa menjadi situasi yang lebih buruk (jika direncanakan),” kata tim tersebut.
Dapatkan berita dan wawasan crypto teratas hari ini dikirim ke email Anda setiap malam. Berlangganan buletin gratis Blockworks sekarang.
Ingin alfa dikirim langsung ke kotak masuk Anda? Dapatkan ide perdagangan degen, pembaruan tata kelola, kinerja token, tweet yang tidak boleh dilewatkan, dan lainnya dari Debrief Harian Blockworks Research.
Tak sabar menunggu? Dapatkan berita kami dengan cara tercepat. Bergabunglah dengan kami di Telegram dan ikuti kami di berita Google.
Sumber: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending