Pada tanggal 18 Oktober, Moola Market – platform pinjaman crypto berukuran layak – dieksploitasi melalui manipulasi harga token aslinya, MOO, yang memiliki likuiditas yang relatif rendah. Namun, CELO – ekosistem yang menjadi bagian dari Moola Markets – tidak.
Eksploitasi ini serupa dengan kegagalan Mango Markets baru-baru ini, karena penyerang menggunakan token asli platform dengan likuiditas rendah untuk melakukan serangkaian perdagangan yang tidak biasa yang, meskipun secara teknis tidak ilegal, merupakan penyalahgunaan platform.
Harga MOO Naik 6,400%
Untuk menghasilkan pembayaran yang besar, penyerang membeli MOO senilai sekitar $45k, yang kemudian dijadikan jaminan untuk meminjam CELO dari platform. Tidak ada yang luar biasa sejauh ini. Namun, penyerang menggunakan CELO yang dipinjam untuk membeli lebih banyak MOO.
Rekursi bergantian untuk membeli satu token dan menggunakannya sebagai jaminan untuk yang lain diulang beberapa kali. Jika upaya ini dilakukan dengan dua token likuiditas tinggi, efek pada harga mereka akan diabaikan.
Namun, karena MOO adalah token dengan likuiditas yang sangat rendah, pembelian konstan MOO dilihat oleh blockchain sebagai minat tiba-tiba pada token, mendorong harga naik secara mengejutkan 6,400%. Tim di Moola dengan cepat memperhatikan kerusakan tersebut.
Kami secara aktif menyelidiki sebuah insiden di @Moola_Pasar. Semua aktivitas di Moola telah dijeda. Tolong jangan berdagang mTokens.
Kepada pengeksploitasi, kami telah menghubungi penegak hukum dan mengambil langkah-langkah untuk mempersulit pencairan dana. Kami bersedia untuk bernegosiasi…
— Pasar Moola (@Moola_Market) Oktober 18, 2022
Sayangnya, pada saat mereka memperhatikan pedagang yang giat menunjukkan minat yang tidak semestinya pada token, penyerang dapat memanipulasi harga MOO yang cukup tinggi untuk membeli total MOO senilai $1.2 juta, $740k CELO Euro ( cEUR), $644k CELO USD (cUSD) dan CELO senilai $6.6 juta. Secara keseluruhan, dana yang dipinjam sekitar $9.1 juta, mulai dari setoran awal $45k.
Kembali ke Jalur
Begitu pengembang Moola mengetahui perdagangan tersebut, mereka segera menghubungi penyerang melalui Twitter, menjanjikan tindakan hukum jika dana tidak dikembalikan dalam waktu 24 jam. Penting untuk dicatat bahwa platform akan memiliki jalur hukum terbatas jika penyerang menolak.
Namun, kedua belah pihak tampaknya telah mencapai kesepakatan agak cepat.
“Menyusul kejadian hari ini, 93.1% dana telah dikembalikan ke multi-sig tata kelola Moola. Kami terus menghentikan sementara semua aktivitas di Moola, dan akan menindaklanjuti dengan komunitas tentang langkah selanjutnya, dan untuk memulai kembali operasi protokol Moola dengan aman.”
Sisa $500k tampaknya mewakili hadiah bug untuk penyerang yang giat – jumlah yang jauh lebih kecil daripada yang mereka hasilkan pada awalnya, tetapi tetap merupakan 1,000%+ pengembalian atas investasi aslinya sebesar $45rb.
Binance Gratis $100 (Eksklusif): Gunakan link ini untuk mendaftar dan menerima $100 gratis dan 10% off biaya di Binance Futures bulan pertama (istilah).
Penawaran Khusus PrimeXBT: Gunakan link ini untuk mendaftar & memasukkan kode POTATO50 untuk menerima hingga $7,000 pada setoran Anda.
Sumber: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/