Oyster Protocol adalah platform smart contract yang dirancang membantu pemilik situs web mendapat penghasilan. Alih-alih menjual ruang iklan, pengunjung laman web menyumbangkan kekuatan komputasi mereka, sehingga pemilik web bisa mendapatkan token Oyster Pearl (PRL) melalui mining untuk mengamankan layanan yang ditawarkan Oyster. PRL, sebuah token ERC-20 dan beroperasi di atas blockchain Ethereum, terdaftar di bursa KuCoin sejak Desember tahun lalu.
CCN melansir, Selasa (30/10), CEO Oyster William Cordes mengumumkan ada beberapa peristiwa intrik yang disebabkan oleh perancang asli Oyster, seseorang dengan nama alias Bruno Block. Cordes menjelaskan, Block memanfaatkan sebuah fungsi di dalam smart contract Oyster untuk menjadikan dirinya sebagai “direktur” sehingga bisa membuat token baru sejumlah 3 juta token, yang kemudian dipindahkannya ke KuCoin dan dijual dengan nilai US$300 ribu.
“Walau Oyster sudah lulus tiga audit smart contract terpisah, Bruno mengatakan jabatan direktur harus tetap terbuka supaya nilai patokan tokennya bisa disesuaikan seiring waktu. Ternyata hal ini menjadi pintu belakang yang di kemudian hari dieksploitasi,” jelas Cordes.
Kontrak yang menyebabkan celah tersebut ditulis oleh Block sebelum Initial Coin Offering (ICO) Oyster, di saat Block adalah satu-satunya anggota tim. Cordes dan rekan-rekannya mengandalkan auditor pihak ketiga untuk memastikan smart contract tersebut aman.
Pihak Cordes curiga Block sengaja melakukan pembuatan token tersebut untuk menghindari deteksi dari prosedur KYC (Know Your Customer) KuCoin, yang mulai berlaku 1 November mendatang. Nasabah KuCoin yang belum melakukan KYC hanya bisa menarik dana maksimal 2 BTC per hari, sehingga akan mencegah Block kabur dengan dana US$300 ribu.
Menurut penyelidikan Oyster, serangan itu mengakibatkan token dicetak dan dikirim ke alamat Ethereum 0x0001Ee57Bb28415742248d946D35C7f87cfd5A54. Token tersebut kemudian dikirim ke bursa dan penjualan serta penarikan dana berhasil dilakukan sebelum tim Oyster bisa mencegahnya. Semua transaksi ini terjadi dalam periode enam jam.
Alamat Bitcoin yang terkait penarikan dari KuCoin menerima lebih banyak dari US$300 ribu dalam Bitcoin. Menggunakan 22 deposit, alamat tersebut mendapat lebih dari 70 BTC (US$400 ribu) dalam satu hari. Belum jelas dana tersebut kemudian lari kemana, tetapi dapat diasumsikan pelaku scam itu mengamankan asetnya dalam bentuk yang lebih likuid, seperti uang tunai.
Penjelasan dari Oyster menekankan bahwa token PRL yang dipegang investor aman, tetapi tentunya kejadian ini berdampak terhadap valuasi token tersebut. Pembuatan token baru sejumlah jutaan itu menyebabkan nilai PRL turun. Menurut CoinMarketCap, nilai PRL turun dari US$0,15 pada dini hari 30 Oktober menjadi US$0,03 saat artikel ini ditulis.
Kendati ada smart contract yang berhasil dieksploitasi, Cordes dan tim Oyster tetap bertekad bulat agar tindakan Block tidak menjatuhkan proyek Oyster yang sudah dikerjakan dengan keras oleh timnya.
“Tim kami akan bekerja keras untuk meredam masalah ini. Kami tidak tahu kenapa Bruno melakukan hal ini dan apa niatnya, selain mencari untung atas celah yang sengaja ia tinggalkan di smart contract. Saya bertanggung jawab penuh atas kejadian ini, tetapi saya tidak mengira Bruno akan mencederai proyek ini beserta semua pekerjaan yang sudah ia lakukan. Kami tidak akan membiarkan tindakan egois Bruno merusak keabsahan jangka panjang proyek kami,” lanjut Cordes.
Belum ada kabar dari Bruno Block. Pencurian senilai kurang dari US$1 juta tidaklah cukup untuk “pensiun dini.” Lebih penting, pihak berwenang akan mulai mencari keberadaan Block. Perlu dicatat, William Cordes tidak menyebut telah mengontak pihak berwenang, tetapi bursa KuCoin pasti akan melakukannya sebagai tanggung jawab terhadap nasabah. [ed]
