GameFi Project Super Sushi Samurai (SSS), yang dibangun di atas blockchain layer-2 milik Coinbase dan Telegram, mengalami penarikan dana sebesar $4,8 juta pada tanggal 21 Maret dari liquidity pool oleh seorang peretas yang menyebut dirinya sebagai white hat hacker setelah menemukan double-spending glitch.
Dalam pernyataan kepada Cointelegraph, CertiK mencatat bahwa “kerentanan berada dalam fungsi _update() kontrak [SSS], yang tidak memperbarui saldo dengan benar saat mentransfer ke diri sendiri.” Jadi, ketika seorang pengguna mentransfer seluruh saldo token SSS mereka ke diri mereka sendiri, saldo yang dihasilkan menjadi dua kali lipat.
CertiK mencatat bahwa selama insiden tersebut, satu pengguna, yang mengoperasikan alamat 0x786C8f95C17BB990a040dc4D6539B01FC1b72842, awalnya membeli 690 juta token SSS, mentransfer seluruh saldo ke dirinya sendiri, menggandakannya 25 kali, dan akhirnya berakhir “dengan 11,5 triliun token SSS yang kemudian dijual dengan harga 1.310 ETH (~$4.590.827).”
Segera setelah insiden tersebut, pengguna yang melakukan pengeluaran ganda token menyatakan dalam pesan blockchain:
“Halo tim, ini adalah hack penyelamatan whitehat. Mari kita bekerja untuk mengganti rugi pengguna. Silakan hubungi melalui obrolan Blockscan dari SSS deployer 0x555b28f3b8b3b8ebd1b06997c2078fd94529f555 di Ethereum mainnet.”
Meskipun kebaikannya, perlu dicatat bahwa white hat yang menyatakan diri ini mengakibatkan keruntuhan token SSS setelah menarik $4,8 juta dana. Sebelum keruntuhan, SSS memiliki total kapitalisasi pasar sebesar $27,75 juta. Token-token tersebut sejak itu kehilangan lebih dari 99% nilainya. Pada hari yang sama, pengembang SSS menanggapi:
“Halo, white hat; kami telah menghubungi Anda di Blockscan. Terima kasih telah bekerja sama dengan kami. Tim SSS.” Hanya satu bulan sebelumnya, token ERC-X yang baru, Miner, turun 99% setelah seorang pengguna menemukan kesalahan double-spending glitch yang menyebabkan pencetakan token unlimited.
“Sayang sekali kontrak tersebut memiliki celah tingkat rendah. Anda bisa menggandakan saldo Anda dengan mentransfer uang ke diri sendiri,” kata Yu Xian, salah satu pendiri perusahaan keamanan blockchain asal Singapura, SlowMist, mengenai insiden tersebut. Kesalahan tersebut mengakibatkan kerugian pengguna lebih dari $10 juta.