Peretasan ParaSpace dalam retrospeksi: $5 juta diselamatkan, penarikan besar dikunci waktu, peretas menginginkan biaya kembali

Platform pertaruhan crypto dan NFT ParaSpace mengalami percobaan eksploitasi yang membahayakan $ 5 juta, menurut berbagai laporan pada 17 Maret.

ParaSpace menegaskan kerentanan

ParaSpace mengakui adanya serangan terhadap kontraknya pada pagi hari. Itu menjeda protokolnya dan kemudian mengatakan sudah menemukan penyebab eksploitasi.

Proyek tersebut juga menyatakan bahwa semua dana pengguna, termasuk NFT aman. ParaSpace kehilangan 50 hingga 150 ETH (kurang dari $270,000) karena selip harga selama serangan dan pemulihan. ParaSpace mengatakan akan menutupi kerugian protokol tersebut. Selain itu, dikatakan akan memberikan hadiah 5% untuk BlockSec, yang menginformasikannya tentang masalah tersebut.

Ketika ditanya tentang audit sebelumnya, ParaSpace mengakui bahwa masalah tersebut ada meskipun ada sembilan audit dari beberapa perusahaan – beberapa di antaranya terjadi hanya beberapa bulan yang lalu.

ParaSpace mengatakan sedang menambal masalah dan mencatat bahwa jeda protokol akan tetap ada sampai audit lebih lanjut. Meskipun ParaSpace belum mengumumkan waktu pengaktifan kembali, itu telah menambahkan batasan lain: penarikan dalam jumlah besar akan dikunci oleh waktu.

BlockSec mencegat penyerang

Perusahaan keamanan Crypto, BlockSec pertama kali melaporkan serangan itu melawan ParaSpace pada pukul 6:50 UTC pada 17 Maret. Sekitar waktu itu, ia mencegat peretas dan menyelamatkan 2,900 ETH ($5 juta). Perusahaan berusaha menghubungi ParaSpace tetapi tidak mendapat tanggapan.

Menurut BlockSec, kerentanan di salah satu kontrak pintar ParaSpace memungkinkan penyerang meminjam token tambahan melalui proses enam langkah.

BlockSec juga mengungkapkan dalam pernyataan kepada The Block bahwa ia menggunakan exploit peretas itu sendiri — bahkan menerapkan kembali versi kontrak serangan asli — untuk memulihkan dana yang dicuri secara paksa. BlockSec menyimpan dana yang diselamatkan dan mengembalikannya ke ParaSpace.

Hackernya nanti mengirim pesan ke BlockSec dalam transaksi blockchain yang meminta pengembalian biaya gas sebesar 0.7 ETH ($1,250). Penyerang menulis, "Saya kehilangan banyak uang saat mencoba membuatnya berhasil" dan menambahkan: "akan menyenangkan mendapatkan setidaknya sebagian dari [uang itu] kembali."

ParaSpace adalah platform yang memungkinkan pengguna mempertaruhkan aset lain, termasuk token non-fungible (NFT) dan token ERC-20. Situsnya mengiklankan Klub Kapal Pesiar Kera Bosan (BAYC) mempertaruhkan, meskipun kedua proyek tersebut tidak terkait secara resmi.