$145K Hilang saat Hacker Menggunakan Merkl untuk Meluncurkan Penipuan DeFi yang Tidak Terverifikasi

Hacker telah menemukan cara baru untuk mengeksploitasi sektor keuangan terdesentralisasi (DeFi) pengguna. Kali ini, mereka menggunakan Merkl, sebuah platform insentif DeFi satu atap, untuk membuat kampanye palsu yang tidak terverifikasi dan menguras setor pengguna. Penipuan ini menargetkan pengguna di Sonic melalui protokol Euler. Ini telah menyebabkan kerugian lebih dari $145,000.

Hacker Membuat Kampanye Hasil Tinggi Palsu

Menurut pengguna DeFi YAM, seorang pelaku jahat memanfaatkan pengaturan terbuka Merkl untuk membuat kampanye palsu. Kampanye tersebut tampak menawarkan pengembalian APR tiga digit. Penipuan ini mengundang pengguna untuk setor USDC ke dalam apa yang terlihat seperti brankas Euler yang sah di Sonic. Namun, setelah pengguna menyetor dana mereka, penyerang menguras semuanya.

Karena Euler Finance adalah protokol tanpa izin, siapa pun dapat menerapkan pasar tanpa persetujuan. Penyerang menggunakan fitur ini untuk meluncurkan pasar palsu. Menggunakan token yang disebut scUSD sebagai jaminan dan USDC sebagai utang. Mereka kemudian memanipulasi harga oracle, sebuah umpan data kunci yang digunakan dalam DeFi, menetapkannya pada angka konyol $1 juta per token. Ini memungkinkan mereka untuk meminjam 700,000 USDC dengan satu scUSD. Ini secara efektif memberi mereka kontrol penuh atas dana vault.

Bagaimana Penipuan Bekerja

Setelah pasar palsu diluncurkan, penyerang meluncurkan kampanye yang tidak terverifikasi di Merkl. Dia mempromosikan hasil yang sangat tinggi untuk menarik setor. Pengguna yang menyetor USDC ke dalam kampanye memiliki dana mereka dipinjam, ditukar menjadi ETH. Kemudian ditransfer ke Proyek RAILGUN, sebuah protokol privasi yang sering digunakan untuk menyembunyikan transaksi.

Data on-chain menunjukkan alamat dompet operator utama sebagai 0x8ba913e…, dengan dana akhirnya dikirim ke 0xa86399… sebelum menghilang ke dalam RAILGUN. Menariknya, satu pengguna, yang diidentifikasi sebagai 0xc0f8fe… berhasil menarik setorannya sebelum penyerang mengurasnya. Kemungkinan karena Hacker tidak aktif memantau vault.

Reaksi Dari Komunitas DeFi

Setelah penemuan tersebut, YAM mendesak pengguna untuk berhati-hati saat berinteraksi dengan kampanye Merkl yang tidak terverifikasi. Mereka juga meminta tim Merkl untuk membuatnya lebih sulit untuk setor ke kampanye semacam itu dengan menambahkan peringatan pop-up yang lebih kuat.

Michael Bentley, co-founder dan CEO dari Euler Labs, menanggapi dengan mengonfirmasi. Bahwa brankas yang dimaksud jelas ditandai sebagai tidak terverifikasi dan diberi label sebagai risiko keamanan. Ia mencatat bahwa situs web Euler hanya memungkinkan akses ke brankas yang tidak terverifikasi setelah pengguna secara manual mengaktifkan opsi yang mengakui risiko. “Kami sekarang secara permanen memblokir semua tautan ke brankas tertentu ini untuk mencegah penggunaan lebih lanjut,” tambah Bentley.

Anggota komunitas juga mengajukan pertanyaan tentang bagaimana pengguna DeFi dapat memverifikasi apakah oracle pasar itu sah. YAM menjelaskan bahwa oracle menyediakan data harga dunia nyata untuk aplikasi DeFi. Mereka sering kali dikendalikan oleh kurator pasar dan harus disiapkan dengan hati-hati. Kesalahan kecil, seperti desimal yang tidak tepat atau multisig yang tidak aman, dapat membuka pintu untuk eksploitasi besar seperti ini.

Seruan untuk Pengamanan yang Lebih Kuat

Insiden ini menyoroti masalah yang berulang dalam DeFi. Keseimbangan antara inovasi tanpa izin dan keselamatan pengguna. Platform seperti Merkl dan Euler memungkinkan siapa saja untuk membuat atau bergabung dengan pasar secara bebas. Namun, keterbukaan itu juga memberikan ruang bagi penyerang untuk bertindak. Sementara proyek dengan jelas menandai kampanye yang tidak terverifikasi. Jumlah penipuan yang semakin meningkat menunjukkan bahwa peringatan saja mungkin tidak cukup.

Pengguna kini meminta lebih banyak gesekan, seperti pemeriksaan verifikasi wajib atau konfirmasi tambahan, untuk melindungi setor. Saat ini, para ahli menyarankan pengguna untuk hanya berinteraksi dengan kampanye yang terverifikasi dan memeriksa kembali detail kontrak sebelum menyetor dana. Eksploitasi senilai $145,000 menjadi pengingat lain bahwa bahkan dalam dunia terbuka DeFi, kehati-hatian adalah pertahanan terbaik.