spot_img
spot_img

Kripto Rp8 Triliun Melayang di PolyNetwork, Rug Pull?

Sejumlah kripto senilai Rp8,6 triliun melayang dari DeFi PolyNetwork kemarin, Selasa (10/8/2017). Namun, sejumlah pakar dan pengamat berbeda pendapat soal apa penyebab sesungguhnya. Ini termasuk yang terbesar sepanjang sejarah DeFi dan bisa jadi modus rug pull oleh developer PolyNetwork sendiri.

Kabar peretasan itu diberitahukan sendiri oleh pengelola PolyNetwork melalui Twitter. Sejauh ini, nilai kripto disedot oleh peretas mencapai US$600 juta atau setara dengan Rp8,6 triliun, ketika peretasan terjadi.

Satu yang pasti, mengingat proyek Polychain adalah lintas blockchain, semua total kripto yang disedot berada di 3 blockchain, yakni Ethereum, Binance Smart Chain dan Polygon.

Dilansir dari Decrypt, Rabu (11/8/2021), berdasarkan kajian BlockSec, peretasan itu bisa jadi merupakan hasil dari “kebocoran private key yang digunakan untuk menandatangani (sign) pesan antar blockchain” atau ” bug dalam proses penandatanganan PolyNetwork yang telah disalahgunakan untuk menandatangani pesan yang dibuat.”

Gambar

Pakar lain juga “mengutuk” penerapan keamanan yang buruk mungkin telah menyebabkan pencurian private key yang digunakan oleh tim PolyNetwork untuk mengotorisasi transaksi.

Pengembang Ethereum dan peneliti keamanan Mudit Gupta menulis, bahwa PolyNetwork menggunakan dompet multisig (setiap transaksi perlu lebih dari dua tandatangan) untuk transaksi.

Dalam konfigurasinya, empat orang memiliki akses ke private key untuk menandatangani transaksi, dan tiga orang harus menandatangani.

Kripto hasil curian. Sumber: Etherscan.

“Peretas mendapatkan setidaknya 3 akses penandatanganan dan kemudian menggunakannya untuk mengubahnya menjadi cukup 1 otorisasi saja. Akibatnya, peretas mengunci akses dari dua otorisasi lainnya,” sebut Gupta, yang awalnya menduga pihak pengelola PolyNetwork menggunakan multisig 1/1.

Berbeda dengan Gupta, tim keamanan dari Blockchain SlowMist mengatakan bukan itu yang terjadi.

“Peretas justru mengambil keuntungan dari kelemahan dalam fungsi smart contract untuk mengubah pihak yang seharus mengotorisasi, mengalihkan aliran dana ke address penyerang itu sendiri. Jadi, ini bukan karena kebocoran private key,” jelasnya.

Pihak PolyNetwork sendiri mengklaim, bahwa penyebabnya adalah celah keamanan yang ada di smart contract-nya.

Kripto Rp6 Triliun Melayang: Dugaan Rug Pull

Perbedaan pendapat para pakar sudah cukup membingungkan masyarakat awam, termasuk para korbannya.

Namun, jikalau mengacu pada hasil kajian CipherTrace sebelumnya, modus rug pull adalah yang paling lazim. Rug pull adalah kesengajaan oleh pihak developer sendiri dengan menempatkan kode di smart contract yang memang lemah, tanpa bisa diketahui oleh pihak luar. CipherTrace menegaskan, modus seperti yang sangat lazim di kasus serupa pada tahun lalu.

Namun SlowMist menegaskan, belum ada indikasi yang mengarah pada dugaan rug pull terhadap PolyNetwork.

Sejauh ini, pihak PolyNetwork sudah bekerjasama dengan sejumlah bursa kripto, di antara Binance dan OKEx untuk memblokir aliran dana kripto itu. [red]

spot_img

Terkini

spot_img
spot_img
spot_img

Terkait