Peretas sukses menggasak kripto Wrapped Ether (WETH) senilai US$320 juta atau setara Rp4,6 triliun di aplikasi Bridge Wormhole berbasis blockchain Solana (SOL).
Hal itu disampaikan langsung oleh pengembang aplikasi itu lewat Twitter pada Kamis (3/2/2022) dini hari.
“Jaringan Wormhole diretas. Ada 120.000 WETH yang dicuri,” tegas Tim Wormhole.
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
“Jaringan Wormhole sedang tidak aktif untuk pemeliharaan, karena kami melihat kemungkinan adanya eksploitasi. Penyelidikan sedang dilakukan dan akan diperbarui di sini,” sebut Tim Wormhole beberapa jam sebelumnya.
Dilansir dari Cointelegraph, peretasan terjadi pada pukul 18:24 UTC pada 2 Februari 2022. Peretasa menerbitkan 120.000 WETH (WETH) di blockchain Solana, kemudian menukarkan menjadi 93.750 WETH dengan ETH senilai US$254 juta ke blockchain Ethereum pada pukul 18:28 UTC.
Peretas telah menggunakan sejumlah dana untuk membeli kripto dan NFT lain, seperti SportX (SX), Meta Capital (MCAP), dan Bored Ape Yacht Club Token (APE).
WETH yang lain ditukar dengan menjadi kripto SOL dan stablecoin USDC di Solana. Dompet Solana peretas saat ini memegang 432.662 SOL (US$44 juta).
Dilansir dari Decrypt di hari yang sama, peretas diketahui berhasil mencuri kripto Wrapped Ether (WETH) sebanyak 120 ribu unit dengan nilai US$320 juta kala itu, lebih besar dari perkiraan awal, yakni US$250 juta.
“ETH akan ditambahkan selama beberapa jam ke depan untuk memastikan WETH didukung sebanyak 1 banding 1,” sebut Tim Wormhole di cuitan lain.
Dugaan peretasan itu kian jelas, karena analis Paradigm membeberkan bukti tambahan, yakni sebuah pesan di blockchain Ethereum: “Kami melihat bahwa Anda dapat mengeksploitasi verifikasi Solana VAA dan token mint. Kami ingin menawarkan Anda perjanjian whitehat, dan memberi Anda hadiah bug sebesar US$10 juta untuk mengeksploitasi detail, dan mengembalikan BAGAIMANA yang telah Anda terbitkan.”
Pesan tersebut berarti ada bukti jelas bahwa Tim Wormhole mengakui peretasan itu benar-benar terjadi. Dan mereka meminta peretas untuk mengembalikan sebagian besar kripto curian, dengan imbalan.
Sementara itu, perusahaan PeckShield melihat adalah aliran transaksi kripto curian itu masuk ke satu address kripto di Binance. Ini terhitung agak janggal, karena mengirimkan kripto ke centralized exchange justru lebih mudah diendus oleh pihak berwenang.
CertiK juga memastikan serangan itu memang terjadi, setelah menemukan aliran transaksi kripto curian itu, lewat tautan ini.
Selain menghubungkan dengan blockchain Ethereum dan Solana, Wormhole juga kompatibel dengan blockchain Avalanche, Binance Smart Chain, Oasis, Polygon, dan Terra.
Ini memungkinkan pengguna dari satu blockchain bisa mengambil kripto berjenis wrapped dan menggunakannya di blockchain lain.
Nah, masalahnya adalah untuk memasukkan kripto ETH ke Solana, harus terlebih dahulu menguncinya ke dalam smart contract dan kemudian mendapatkan jumlah yang setara dalam bentuk WETH. Jadi nilai WETH sama dengan kripto ETH yang asli
Dugaan sementara adalah peretasan mampu menggunakan celah, di mana mereka bisa menerbitkan WETH tanpa perlu meng-lock ETH di dalam aplikasi Wormhole itu.
Beberapa jam yang lalu, Tim Wormhole memastikan bahwa celah keamanan itu sudah diperbaiki. [ps]