Peretasan terhadap aplikasi kripto terjadi lagi. Kali ini menimpa aplikasi Qubit Finance. Kerugian kripto mencapai US$80 juta atau setara dengan Rp1,1 triliun. Sebanyak 206.809 kripto BNB juga turut dilahap. Ini adalah aksi peretasan ke-7 terbesar di dunia kripto.
“Protokol kami dieksploitasi. Peretas menerbitkan token xETH untuk dipinjam, di jaringan blockchain Binance Smart Chain (BSC). Kami sedang menyelidikinya lebih dalam,” sebut pihak Qubit Finance, Jumat (28/1/2022) pagi hari.
The protocol was exploited by;
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7
The hacker minted unlimited xETH to borrow on BSC.
The team is currently working with security and network partners on next steps.
We will share further updates when available.— Qubit Finance (@QubitFin) January 28, 2022
Besaran kerugian itu tertera di blockchain di laman ini, berdasarkan wallet address peretas. Karena nilai kripto tertekan, ketika artikel ini ditulis, nilai kripto menjadi US$78 juta.
Di unggahan lain, pihak Qubit Finance, memastikan berusaha melacak dan menghubungi sang peretas guna menawarkan imbalan, jika bersedia mengembalikan semua kripto curian itu.
Update:
1. The team continues to track the exploiter and monitor affected assets
2. The team has contacted the exploiter to offer the maximum bounty— Qubit Finance (@QubitFin) January 28, 2022
Perusahaan audit smart contract, Certik, mengungkapkan, bahwa peretasan itu bisa terjadi, karena adanya kekeliruan penulisan pada kode program di smart contract yang digunakan di aplikasi Qubit Finance.
Incident Analysis
The hacker called `deposit()` in the QBridge #eth contract w/o really making any deposit and emitted the Deposit event
The exploit was caused by `tokenAddress.safeTransferFrom` in QBridgeHandler.sol which didn't revert the tx when the tokenAddress is the 0x0. pic.twitter.com/jBpm2W3tUP
— CertiK Security Leaderboard (@CertiKCommunity) January 28, 2022
Ini Kripto yang Digondol Peretas
Rincian lengkap aset yang dicuri berjumlah 15.688 weTH (US$37,6 juta), 767 BTC-B (US$28,5 juta), sekitar US$9,5 juta dalam stablecoin , dan US$5 juta dalam token CAKE, BUNNY, dan MDX, menurut perusahaan audit CertiK.
Karena penyerang tidak pernah mengonversi “jaminan” qXETH mereka, total biaya pencurian ke Qubit Finance adalah US$80 juta.
Certik juga memastikan peretas menggunakan opsi deposit dalam smart contract QBridge untuk secara ilegal menerbitkan sebanyak 77.162 token qXETH, yang merupakan aset yang mewakili eter yang dijembatani melalui Qubit. Protokol “dibuat” untuk percaya bahwa peretas telah menyetor dana, padahal sebenarnya tidak.
Menurut CertiK, peretas melakukan tindakan ini beberapa kali dan sebagai hasilnya mengubah semua aset menjadi Binance Coin.
Peretasan Terbesar Ke-7 Saat Ini
Jikalau dibandingkan data kasus peretasan dari DefiYield, kasus yang dihadapi Qubit Finance ini adalah terbesar ke-7.
Ambyar! Aplikasi Ini Diretas, Kerugian Mencapai Rp431 Milyar
Bulan lalu aplikasi Grim Finance kehilangan US$30 juta dalam eksploitasi, sepekan setelah Brinc Finance dieksploitasi sebesar US$1,1 juta.
Aksi peretasan terbesar hingga saat ini adalah terhadap PolyNetwork dengan total kerugian mencapai US$602,1 juta pada 10 Agustus 2021 lalu.
Pada 17 Januari, bursa kripto ternama, Crypto.com menderita kerugian hampir US$34 juta akibat peretasan. Pelaku disebut-sebut juga menggunakan layanan Tordano Cash.
Aplikas Kripto Diretas, Ini Kronologinya
Dilansir dari keterangan resmi Qubit Finance, insiden itu terjadi pada 27 Jan 2022 pukul 09:18:55 PM +UTC. Ada 0,8887725 ETH dikirim dari Tornado Cash masuk ke wallet peretas. Tornado Cash adalah layanan popular untuk menyamarkan transaksi kripto curian dan kerap digunakan oleh peretas.
“Peretas memanfaat kode fungsi penyetoran QBridge lewat blockchain Ethereum. Fungsi inilah mengeksekusi fungsi deposit QBridgeHandler.
Fungsi yang terakhir ini, seharusnya menerima token wETH. Jika ada pihak yang melakukan transaksi tidak memiliki token itu, transfer tidak bisa terjadi. Singkatnya, fungsi deposit adalah fungsi yang tidak boleh digunakan setelah deposit ETH baru dikembangkan, tetapi tetap dalam smart contract,” tertera di laman itu.
Sementara itu, perusahaan keamanan siber, PeckShield memastikan memang benar kripto yang dicuri setara dengan US$80 juta.
“QubitFinance diretas untuk menerbitkan sejumlah besar agunan dengan token xETH dan menguras dana pool sekitar US$80 juta,” sebutnya. [ps]
