Sejumlah kripto senilai Rp8,6 triliun melayang dari DeFi PolyNetwork kemarin, Selasa (10/8/2017). Namun, sejumlah pakar dan pengamat berbeda pendapat soal apa penyebab sesungguhnya. Ini termasuk yang terbesar sepanjang sejarah DeFi dan bisa jadi modus rug pull oleh developer PolyNetwork sendiri.
Kabar peretasan itu diberitahukan sendiri oleh pengelola PolyNetwork melalui Twitter. Sejauh ini, nilai kripto disedot oleh peretas mencapai US$600 juta atau setara dengan Rp8,6 triliun, ketika peretasan terjadi.
Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker's following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71— Poly Network (@PolyNetwork2) August 10, 2021
Satu yang pasti, mengingat proyek Polychain adalah lintas blockchain, semua total kripto yang disedot berada di 3 blockchain, yakni Ethereum, Binance Smart Chain dan Polygon.
Dilansir dari Decrypt, Rabu (11/8/2021), berdasarkan kajian BlockSec, peretasan itu bisa jadi merupakan hasil dari “kebocoran private key yang digunakan untuk menandatangani (sign) pesan antar blockchain” atau ” bug dalam proses penandatanganan PolyNetwork yang telah disalahgunakan untuk menandatangani pesan yang dibuat.”
Pakar lain juga “mengutuk” penerapan keamanan yang buruk mungkin telah menyebabkan pencurian private key yang digunakan oleh tim PolyNetwork untuk mengotorisasi transaksi.
Pengembang Ethereum dan peneliti keamanan Mudit Gupta menulis, bahwa PolyNetwork menggunakan dompet multisig (setiap transaksi perlu lebih dari dua tandatangan) untuk transaksi.
Dalam konfigurasinya, empat orang memiliki akses ke private key untuk menandatangani transaksi, dan tiga orang harus menandatangani.
“Peretas mendapatkan setidaknya 3 akses penandatanganan dan kemudian menggunakannya untuk mengubahnya menjadi cukup 1 otorisasi saja. Akibatnya, peretas mengunci akses dari dua otorisasi lainnya,” sebut Gupta, yang awalnya menduga pihak pengelola PolyNetwork menggunakan multisig 1/1.
Berbeda dengan Gupta, tim keamanan dari Blockchain SlowMist mengatakan bukan itu yang terjadi.
We are aware of the https://t.co/IgGJ0598Q0 exploit that occurred today. While no one controls BSC (or ETH), we are coordinating with all our security partners to proactively help. There are no guarantees. We will do as much as we can. Stay #SAFU. 🙏 https://t.co/TG0dKPapQT
— CZ 🔶 Binance (@cz_binance) August 10, 2021
“Peretas justru mengambil keuntungan dari kelemahan dalam fungsi smart contract untuk mengubah pihak yang seharus mengotorisasi, mengalihkan aliran dana ke address penyerang itu sendiri. Jadi, ini bukan karena kebocoran private key,” jelasnya.
Pihak PolyNetwork sendiri mengklaim, bahwa penyebabnya adalah celah keamanan yang ada di smart contract-nya.
After preliminary investigation, we located the cause of the vulnerability. The hacker exploited a vulnerability between contract calls, exploit was not caused by the single keeper as rumored.
— Poly Network (@PolyNetwork2) August 10, 2021
Kripto Rp6 Triliun Melayang: Dugaan Rug Pull
Perbedaan pendapat para pakar sudah cukup membingungkan masyarakat awam, termasuk para korbannya.
Namun, jikalau mengacu pada hasil kajian CipherTrace sebelumnya, modus rug pull adalah yang paling lazim. Rug pull adalah kesengajaan oleh pihak developer sendiri dengan menempatkan kode di smart contract yang memang lemah, tanpa bisa diketahui oleh pihak luar. CipherTrace menegaskan, modus seperti yang sangat lazim di kasus serupa pada tahun lalu.
Namun SlowMist menegaskan, belum ada indikasi yang mengarah pada dugaan rug pull terhadap PolyNetwork.
Sejauh ini, pihak PolyNetwork sudah bekerjasama dengan sejumlah bursa kripto, di antara Binance dan OKEx untuk memblokir aliran dana kripto itu. [red]