Sistem ini menghitung total output dari setiap langkah swap untuk memastikan nilai transaksi tetap adil.
Namun pelaku menemukan celah dalam cara sistem menghitung output berurutan.
Dalam skenario sederhana, 1.000 USDC ditukar menjadi 999 token buatan pelaku dengan minimum output 999.
Kemudian 999 token tersebut langsung ditukar kembali menjadi 1 USDC dengan minimum output 1.
Sistem melihat total output sebagai 999 ditambah 1 sama dengan 1.000.
Perhitungan ini dianggap valid oleh sistem.
Padahal kenyataannya, hanya 1 USDC yang kembali ke protokol.
Sementara 999 USDC lainnya tetap berada di pool milik pelaku.
Kesalahan sistem terjadi karena token buatan pelaku dihitung sebagai output akhir.
Padahal token tersebut langsung digunakan kembali sebagai input pada langkah berikutnya.
Dana pinjaman akhirnya dialirkan ke pool palsu milik pelaku.
Posisi transaksi langsung mengalami ketidakseimbangan antara nilai aset dan utang.
Kondisi ini memicu likuidasi paksa.
Likuidasi tersebut menguras dana cadangan platform secara signifikan.
Metode ini memiliki kemiripan dengan kasus KyberSwap exploit 2023 yang menyebabkan kerugian sebesar $54,7 juta.
Serangan tersebut juga memanfaatkan prinsip penghitungan nilai ganda dalam transaksi berurutan.
Dalam perkembangan terbaru, sekitar $9 juta dari total dana yang hilang telah berhasil diamankan atau dibekukan.
Sebagian di antaranya adalah $3,29 juta dalam bentuk USDT yang dibekukan langsung oleh Tether di dompet pelaku.
Kontrak pinjaman pada platform saat ini telah dihentikan sementara.
Discussion about this post