Fakta Mengerikan di Balik Raibnya 2,09 Juta EOS

Pada 26 Februari 2019 lalu, di sejumlah media blockchain tersiar kabar soal raibnya 2,09 juta EOS (sekitar US$7,7 juta) dari satu akun blockchain EOS. Dilakukan melalui “peretasan”, penyebab utamanya adalah kelalaian seorang Block Producer (BP) yang tidak memperbarui isi daftar hitam (blacklist) akun-akun terlarang di EOS. Dari kabar terbaru terungkap, ternyata ini sekaligus mempertontonkan sejumlah kelemahan sistem EOS, yang menganut dPOS (Delegated Proof of Stake) itu.

Sebagai informasi, perbedaan antara sistem Proof of Stake (POS) dan dPOS adalah soal pihak yang memvalidasi blok transaksi. Secara umum, kalau pada POS pihak yang memvalidasi blok transaksi adalah sejumlah pihak yang memiliki jumlah aset (koin atau token) dalam jumlah yang sangat banyak. Sedangkan di dPOS, ada mekanisme pendelegasian kepada pihak-pihak yang dijadikan sebagai validator-nya dengan cara voting. Pada EOS inilah yang disebut sebagai Block Producer (BP) yang mendapatkan mandat mewakili proses validasi. BP juga disebut sebagai simpul (node) dalam jaringan blockchain. BP ini mendapatkan imbalan dari transaksi di blockchain EOS. Jumlah BP di EOS punya hanya sedikit, yakni hanya 21 saja, agar proses transaksi menjadi lebih cepat.

“Pada ekosistem EOS ada yang disebut sebagai ECAF (EOS Community Arbitration Forum). Tak seperti BP, pada ECAF tidak ada mekanisme voting, tetapi sekadar ditentukan dalam EOS Constitution. Ini semacam undang-undang dasar yang disepakati oleh sejumlah pihak yang ingin terlibat pada ECAF,” kata Luke Stokes, salah seorang anggota komunitas eosDAC yang tinggal di Puerto Rico. eosDAC sendiri berperan sebagai BP.

Kata Stokes, ECAF difungsikan untuk mengatasi perselisihan dalam komunitas. Misalnya, ketika seseorang menyatakan ada orang dari akun lain yang mencuri kriptonya, maka ECAF mengkaji dan menguji apakah tuduhan ini benar. Jikalau benar, maka ECAF akan menambahkan akun tersebut ke dalam daftar hitam EOS dan ini diberitahukan kepada seluruh BP.

Nah, untuk memastikan daftar hitam itu diterapkan, sebanyak 21 BP teratas harus mengkonfigurasikannya secara benar pada node (simpul) komputer yang mereka kelola. Inilah yang memungkinkan, ketika pihak-pihak yang ada di daftar hitam ingin melakukan transaksi, maka transaksinya seketika dibekukan. Hal lainnya, kripto pada transaksi tersebut juga tak dapat diretas oleh pihak-pihak lainnya.

Masalahnya, semakin banyak perintah daftar hitam yang dikeluarkan oleh ECAF, maka semakin banyak pula BP yang kebingungan, hingga ragu soal derajat keamanan EOS sendiri.

Menurut Stokes, komunitas EOS saat ini mulai menawarkan mekanisme keamanan lain untuk melindungi token-token di bawah EOS, misalnya dengan multi-signature dan time-delayed permissions.

“Di atas itu semua, peran dari ke-21 BP teratas itu seolah-olah jumawa melakukan sensor,” kata Stokes.

Jadi, pencurian 2,9 juta EOS itu gara-gara daftar hitam yang dikeluarkan oleh ECAF itu. Pada awalnya mekanisme seperti ini dirasa baik untuk melindungi aset komunitas. Tetapi, pada kenyataannya ke-21 BP teratas itu sendiri justru gagal menentukan secara tepat daftar hitam yang diterbitkan.

“Ada BP terbaru yang masuk dalam kategori 21 BP teratas, yakni games.eos yang gagal mengkonfigurasi daftar hitam. Lalu 2,09 juta EOS itu terkirim dari akun terlarang yang masuk dalam daftar hitam. Masalahnya, EOS itu dikirimkan ke sejumlah address yang berbeda-beda secara cepat. Saking cepatnya, BP justru tak sanggup menanganinya,” kata Kevin Rose, Pemimpin komunitas EOS, sekaligus BP yang tinggal di New York.

Menurut Rose, peristiwa itu bukanlah semata-mata aktivitas peretasan. Lagipula itu sudah berlangsung lebih dari satu minggu. Sistem daftar hitam, bagi Rose, hanya bersifat sementara untuk mengatasi keamanan dalam EOS.

“Untuk mencegah itu terjadi kembali, selain akan menggunakan multi-signature dan time-delayed permissions, ada mekanisme khusus, di mana akun yang masuk daftar hitam tidak akan bisa beroperasi lagi selamanya. Hingga saat ini usulan terakhir itu baru diterima oleh dua BP dari ke-21 BP teratas itu. [breakermag.com/vins]

Terkini

Warta Korporat

Terkait