Penyerang mengeksploitasi kumpulan kecairan Odin dengan mendepositkan token tidak bernilai seperti SATOSHI bersama BTC, menetapkan nisbah harga yang melambung dalam pasaran yang tipis.
Penggodam telah menguras 58.2 bitcoin (BTC) bernilai kira-kira $7 juta daripada platform pelancaran memecoin Odin.fun dalam satu eksploitasi manipulasi kecairan yang canggih yang dikaitkan dengan kumpulan penggodam dari China.
Serangan ini menyasarkan sistem pembuat pasaran kecairan automatik platform pelancaran memecoin berasaskan Bitcoin, yang kemudiannya digambarkan oleh pengasas bersama Bob Bodily sebagai mempunyai kelemahan kritikal.
Data blockchain menunjukkan rizab bitcoin platform merosot secara mendadak daripada 291 BTC kepada 232.8 BTC dalam masa kurang daripada dua jam semasa serangan tersebut.
“Hari ini kami menemui eksploit besar dalam AMM kecairan kami yang diperkenalkan dalam kemas kini terkini kami,” kata Bodily dalam siaran X selepas serangan tersebut. “Beberapa pengguna berniat jahat, terutamanya yang dikaitkan dengan kumpulan di China, mengambil kesempatan daripada kelemahan ini untuk mencuri sejumlah besar BTC daripada platform.”
Penyerang mengeksploitasi kumpulan kecairan Odin dengan mendepositkan token tidak bernilai seperti SATOSHI bersama BTC, menetapkan nisbah harga yang melambung dalam pasaran yang tipis. Dengan memanipulasi matematik kumpulan — selalunya melalui perdagangan sendiri atau deposit berat sebelah — mereka menjadikan token tersebut kelihatan jauh lebih berharga dari segi BTC.
Mereka kemudiannya mengeluarkan kecairan, menerima jumlah besar BTC sebenar pada harga palsu, menguras 58.2 BTC daripada kumpulan tersebut.
Kaedah pam-dan-kuras ini berkesan kerana pembuat pasaran automatik bergantung sepenuhnya pada nisbah bekalan dalaman, bukan pemeriksaan harga luaran, menjadikannya terdedah apabila kumpulan adalah cetek atau tidak terjamin dengan baik.
Bodily berkata insiden tersebut melibatkan beberapa pelaku ancaman, kebanyakannya dikaitkan dengan kumpulan China, bekerja secara koordinasi untuk mengeksploitasi kelemahan tersebut. Pencerobohan ini pertama kali dibenderakan oleh ahli komuniti yang menyedari pergerakan kecairan luar biasa, mendorong pembekuan segera pada akaun yang mencurigakan.
Walaupun dana yang tinggal di platform adalah “selamat,” Bodily mengakui perbendaharaan Odin tidak cukup besar untuk menyerap kerugian sepenuhnya, memaksa pasukan menyediakan apa yang disebutnya sebagai “rancangan konkrit” untuk memberi pampasan kepada pengguna yang terjejas.
“Kami ada idea… kami akan berkongsi butiran sebaik sahaja ia dimuktamadkan,” katanya di X, menambah bahawa rancangan itu sedang dibentuk bersama audit penuh daripada firma keselamatan dalam proses yang dijangka mengambil masa sehingga seminggu.
Pasukan Odin.fun telah menghubungi penguatkuasa undang-undang AS dan berkoordinasi dengan Binance dan OKX, kedua-duanya telah melibatkan pihak berkuasa China untuk mengesan dan berpotensi membekukan dana yang dicuri.