Skip to content Skip to sidebar Skip to footer
Home / Techno

Peretasan Jaringan Poli Mengungkap Cacat DeFi, Tetapi Komunitas Datang untuk Menyelamatkan

By Shiela Cecillia

Meskipun sepertinya peretasan crypto sedang menurun, pasar baru-baru ini menyaksikan salah satu dari serangan terbesar yang pernah ada dalam sejarah awal keuangan terdesentralisasi (DeFi), di mana seorang peretas yang tidak dikenal mampu mengeksploitasi celah dalam kerangka kerja digital protokol lintas rantai Poly Network, meninggalkannya dengan $610 juta yang keren dari tiga blockchain terpisah.

Jaringan Poli adalah proyek kolaboratif didukung oleh Ontology, Neo dan Switcheo. Ini bertujuan untuk “aliansi protokol interoperabilitas heterogen” yang mengintegrasikan blockchain ke dalam ekosistem lintas rantai yang lebih besar. Berkat infrastrukturnya, protokol ini memungkinkan pengguna untuk bertukar token dengan mulus di berbagai blockchain.

Tim pengembang inti Poly Network terus menyempurnakan pengembangan, mengungkapkan bahwa serangan itu mengakibatkan sekitar $273 juta dalam Ethereum, $85 juta dalam USD Coin (USDC) dari jaringan Polygon dan $253 juta dari Binance Smart Chain yang sedang disusupi. Selain itu, sejumlah besar renBTC, paket Bitcoin (wBTC), dan paket Ether (wETH) juga hilang sebagai bagian dari eksploitasi.

Mengenai bagaimana peretasan terjadi, Anton Bukov, salah satu pendiri DeFi aggregator 1inch Network, mengatakan kepada Cointelegraph bahwa salah satu subsistem Poly Network — dirancang untuk dapat meneruskan interaksi kontrak pintar pengguna antara berbagai blockchain — ternyata rusak, tambah :

“Peretas menjembatani interaksi transaksi palsu dalam satu rantai untuk membuat sistem berkontraksi dengan yang lain, mentransfer hak kepemilikan ke brankas aset ke kunci publik peretas. Pengembang dan auditor Poly Network gagal memperhatikan kerentanan, memungkinkan beberapa panggilan pengguna acak melalui kontrak pintar yang sangat istimewa.”

Pakai topi putih

John Jefferies, kepala analis keuangan di CipherTrace, berbagi pemikirannya tentang masalah ini, mengatakan kepada Cointelegraph bahwa insiden ini sangat menarik dibandingkan dengan semua peretasan DeFi di masa lalu, yang sebagian besar menggunakan beberapa bentuk pinjaman kilat dan arbitrase untuk menegosiasikan kontrak pintar. mengeksploitasi dan mencuri uang, menambahkan:

“Peretas pada dasarnya menemukan eksploitasi yang memungkinkannya untuk melewati kunci pribadi dan meminta kontrak mengirim uang ke dirinya sendiri. Dalam semua pertukaran yang dilakukan peretas dalam upaya untuk menutupi jejak mereka, tampaknya pada titik tertentu peretas menggunakan kembali dompet yang telah melakukan transaksi sebelumnya dengan beberapa pertukaran terkemuka yang diduga mengidentifikasi informasi KYC tentangnya. .

Juga, Jefferies tidak sepenuhnya yakin dengan niat peretas, meskipun semua dana yang dicuri sekarang kembali ke tempatnya. “Tidak mungkin topi putih akan mengambil langkah untuk menutupi jejak uang jika mereka selalu berniat mengembalikan uang itu,” katanya.

Dalam pergantian peristiwa yang aneh namun menarik, tak lama setelah pelanggaran, peretas Poly Network melakukan wawancara diri ala Ask Me Anything, menggunakan tertanam pesan dalam transaksi Ethereum. Ketika ditanya mengapa Poly Network secara khusus menjadi sasaran, peretas menjawab, “peretasan lintas rantai itu panas”, menambahkan bahwa mereka menghabiskan banyak waktu untuk mengidentifikasi kerentanan pada jaringan untuk dieksploitasi.

Tidak hanya itu, peretas mengklaim bahwa tujuannya tidak pernah untuk menyimpan $ 610 juta, melainkan mengekspos kerentanan kepada massa sebelum pengembang Poly Network diam-diam dapat memperbaiki bug tersebut. “Saya ingin memberi mereka [Poly Network] kiat tentang cara mengamankan jaringan mereka sehingga mereka memenuhi syarat untuk mengelola satu miliar [dollar] proyek masa depan.” Lebih lanjut dia menambahkan:

“Ketika saya menemukan bug itu, perasaan saya campur aduk. Tanyakan pada diri sendiri apa yang akan Anda lakukan jika Anda dihadapkan dengan keberuntungan seperti itu. Tanyakan kepada tim proyek dengan sopan agar mereka bisa menyelesaikannya? Siapa pun bisa menjadi pengkhianat yang mendapat satu miliar. Aku tidak bisa mempercayai siapa pun! Satu-satunya solusi yang dapat saya pikirkan adalah menyimpannya di akun tepercaya.”

Dana kembali

Poly Network merilis sebuah pernyataan pada hari Kamis yang mengumumkan bahwa semua $610 juta dari uang itu telah ditransfer ke dompet multisig yang berada di bawah lingkupnya bersama dengan peretas. Satu-satunya token yang tersisa berisi Tether senilai $33 juta (USDT), yang dibekukan segera setelah berita tentang serangan itu.

Peretas Poly Network memulai dengan mentransfer sebagian besar dana yang dicuri kembali ke protokol DeFi lintas rantai. Memang, lebih dari sehari setelah acara, CipherTrace mengkonfirmasi bahwa setidaknya $265+ juta telah dikembalikan ke Poly Network dalam bentuk $1 juta dalam USDC; $256,2 juta terutama melalui Bitcoin BEP-2 (BTCB), Binance-pegged-Ether dan Binance USD (BUSD); Binance Coin senilai $2,637 juta (BNB); dan $3,4 juta dalam Shiba Inu (SHIB), renBTC dan Fei.

Sejak awal, penyerang mengaku bersedia mengembalikan seluruh dana yang dicuri – janji yang dibuat Kamis lalu – dan mengklaim tujuannya adalah untuk memberi Poly pelajaran mahal tentang kelemahan keamanannya.

Namun, Tom Robinson, kepala ilmuwan di perusahaan analitik blockchain Elliptic percaya perubahan hati mungkin karena peretas merasa sangat sulit untuk mencuci/membayar aset yang dicuri karena transparansi blockchain.

Sebastian Bürgel, pendiri protokol privasi data berbasis Ethereum, HOPR, mengatakan kepada Cointelegraph bahwa meskipun pencurian tidak pernah merupakan hal yang baik, menurutnya sangat mengesankan bahwa komunitas DeFi dapat bersatu – dari Tether membekukan $33 juta dalam USDT hingga OKEx dan membantu Binance membantu dalam memantau dana yang ditransfer – untuk mencegah peretas menarik atau menukar aset apa pun yang terlibat, menambahkan:

“Semoga ini akan mendorong fokus yang lebih besar pada keamanan dan audit. Antusiasme DeFi menular, tetapi penting untuk diingat bahwa ada nilai luar biasa yang dipertaruhkan. Keinginan untuk bertindak cepat tidak dapat mengalahkan keamanan.”

“Tidak, terima kasih,” kata “Mr. White Hat”

Setelah menetapkan motif peretas untuk sepenuhnya bersih, juru bicara Poly Network mengatakan perusahaan bersedia untuk menawarkan orang — yang merupakan perusahaan “Mr. White Hat,” — hadiah $ 500.000 melalui pesan yang: Baca“Kami akan mengirimi Anda hadiah 500k ketika sisa uang dikembalikan, kecuali USDT yang dibekukan.”

Anehnya, peretas itu mengalami menolak, menyatakan bahwa dia tidak pernah menanggapi tawaran itu. “Saya akan mengembalikan semua uang mereka,” katanya, menandatangani.

Dengan semua dana kembali ke tempatnya — kecuali untuk USDT beku yang disebutkan di atas — sepertinya peretasan terbesar dalam sejarah keuangan terdesentralisasi akhirnya berakhir. Dan sementara identitas peretas tetap menjadi misteri, perusahaan keamanan siber China SlowMist baru-baru ini merilis pembaruan yang mengklaim bahwa tim keamanannya dapat mengenali alamat email, alamat IP, dan sidik jari perangkat penyerang.

Mudah-mudahan, episode ini berfungsi sebagai pengingat keras tentang bagaimana keamanan harus selalu menjadi yang terpenting dalam meletakkan fondasi proyek apa pun, terlepas dari proposisi teknologi. Oleh karena itu, akan menarik untuk melihat bagaimana perusahaan rintisan dan perusahaan lain yang beroperasi di dalam DeFi terus berevolusi dan meningkatkan konfigurasi keamanan mereka yang ada, karena peretas mungkin tidak bersedia mengembalikan uangnya di lain waktu.