Compass Investments

Protokol pribadi Foom.Cash telah kehilangan sekitar $ 2,26 juta setelah beberapa penyerang memalsukan bukti zkSNARK sebagai akibat dari pengaturan verifier yang salah.

Eksploitasi tersebut memengaruhi kontrak pintar di jaringan Ethereum dan Base, menghilangkan 24,28 triliun token FOOM, sekitar $ 427.000 di antaranya diperoleh secara tidak tepat dan sekitar $ 1,83 juta di antaranya disebabkan oleh tindakan peretas topi putih.

Organisasi keamanan siber menemukan bahwa akar masalahnya adalah kesalahan konfigurasi sistem verifikasi Groth16, yang memungkinkan terjadinya banyak penarikan.

Foom.Cash, garpu privasi pada blockchain Ethereum yang memposisikan dirinya sebagai versi yang disempurnakan dari mixer Tornado Cash yang disetujui, dilaporkan kehilangan sekitar $ 2,26 juta dalam bentuk token karena kerentanan dalam sistem verifikasi mata uang kripto, yang telah diperingatkan oleh beberapa lembaga analis. Serangan tersebut, yang memengaruhi kontrak di Ethereum dan Base, mengakibatkan hilangnya 24.283.773.519.600 token FOOM, aset utama platform tersebut. Peneliti keamanan mencatat bahwa eksploitasi tersebut hampir sama persis dengan kerentanan yang ditemukan pada protokol lain beberapa hari sebelumnya.

Satu transaksi di jaringan Base mengakibatkan kerugian sekitar $ 427.000, yang dikaitkan dengan pelaku eksploitasi langsung. Transaksi Ethereum, bernilai sekitar $ 1,83 juta, tampaknya merupakan bagian dari operasi penyelamatan topi putih.

Bagaimana pembobolan itu terjadi?

GoPlus Security, jaringan keamanan Web3 yang diawasi oleh BinanceLabs, mendokumentasikan insiden tersebut, yang menunjukkan bahwa ketidakakuratan dalam pengaturan kunci verifikasi memungkinkan penipu untuk memalsukan catatan verifikasi zkSNARK. Hal ini memungkinkan mereka untuk memalsukan kredensial kriptografi yang diterima oleh protokol sebagai sah, dan dengan demikian menarik sejumlah besar token dari kontrak yang disusupi.

Certik, sebuah perusahaan keamanan blockchain, menulis di akun X-nya: “Alasan utamanya mungkin terletak pada pengaturan delta2==gamma2 untuk verifier Groth16 di 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Hal ini memungkinkan pengeksploitasi untuk menghitung ‘pC’ yang diperlukan untuk berbagai ‘nullifierHash’ sambil menjaga agar semua input lainnya tidak berubah, sehingga memungkinkan pengambilan beberapa token ZOOM”.

Sederhananya, protokol yang secara aktif mempromosikan penghalang kriptografinya yang hampir tidak dapat ditembus telah dikompromikan karena kesalahan konfigurasi.

Sistem pemantauan Phalcon milik BlockSec, yang memantau aktivitas mencurigakan di kedua jaringan secara real time, melaporkan bahwa insiden tersebut terlihat seperti serangan yang direplikasi. Perusahaan menekankan bahwa itu didasarkan pada akar penyebab yang sama yang diidentifikasi dalam peretasan Veil Cash baru-baru ini.

Perlu dicatat bahwa insiden Veil Cash berskala lebih kecil, dengan kerugian sejumlah kecil ETH, mungkin 2.9 ETH.

Apa itu Foom.Cash?

Foom.Cash memposisikan dirinya sebagai protokol lotere pribadi berbasis ZKProof yang menggabungkan anonimitas Zcash (yang beroperasi sebagai blockchain pribadi yang terpisah), fungsionalitas DeFi dari ekosistem Ethereum, dan mekanisme hadiah acak bawaan.

Ini telah disebut sebagai penyempurnaan dari Tornado Cash dan alternatif dari Zcash untuk jaringan Ethereum. Tornado Cash disetujui oleh Departemen Keuangan AS pada tahun 2022, tetapi pada bulan Maret 2025, agensi tersebut mencabut pembatasan pada platform tersebut.

Menurut perwakilan proyek, mereka memproses lebih banyak transaksi harian daripada Tornado Cash, memiliki likuiditas lebih dari delapan juta dolar dan memberikan penyedia likuiditas pengembalian tahunan sebesar 50 hingga 80 persen.

Topik privasi di DeFi sekali lagi mendapatkan popularitas: Zcash telah menunjukkan peningkatan nilai yang nyata dalam beberapa bulan terakhir, dan Foom.Cash telah mencoba memanfaatkan tren ini dengan menawarkan anonimitas dalam infrastruktur Ethereum yang ada.

Platform ini memanfaatkan modifikasi spesifik dari zkSNARKs, yang merupakan komponen kunci yang memberikan privasi dalam protokol yang diakui seperti Zcash.

Langkah-langkah apa yang diambil Foom.Cash untuk memulihkan dana dan menghilangkan kerentanan?