Seorang peretas mencuri crypto ETH senilai hampir US$1 juta dari dompet kripto melalui eksploitasi alamat vanity yang diciptakan memakai aplikasi Profanity.
Pada Minggu (25/09/2022), peretas tersebut mencuri 732 Ether (ETH) senilai US$950 ribu. Analisa data on-chain PeckShield mengungkap, peretas itu lalu mengirim ETH ke layanan mixing kripto Tornado Cash.
Layanan mixing yang dikenakan sanksi oleh pihak berwenang Amerika Serikat tersebut digunakan untuk menyamarkan jejak transaksi kripto melalui pencampuran dengan transaksi lain. Setelah mengalami mixing, ETH curian tersebut ditarik ke dompet peretas.
US$1 Juta Crypto ETH Melayang
Eksploitasi ini berhasil dilaksanakan akibat celah alamat vanity yang dideteksi oleh situs GitHub pada bulan Januari silam. Alamat vanity adalah alamat dompet kripto yang memiliki pola angka atau huruf tertentu agar terlihat cantik, mirip plat kendaraan bermotor.
Beragam alamat vanity diciptakan memakai aplikasi Profanity. Bursa desentralistik aset kripto 1inch mengingatkan investor kripto bahwa alamat vanity tidak aman dan menghimbau agar aset ditransfer ke alamat lain.
Menurut 1inch, penciptaan alamat vanity Profanity memakai vektor acak 32-bit untuk mendapatkan seed phrase bagi private key 256-bit yang memiliki tingkat keamanan rendah. Private key tersebut dapat dibobol menggunakan serangan brute force.
Serangan tersebut membutuhkan daya komputasi tinggi, tetapi dapat tertutup oleh jumlah aset yang berhasil diraup oleh peretas.
Menanggapi pernyataan 1inch, penyelidik blockchain ZachXBT mengatakan eksploitasi kelemahan dalam Profanity dimanfaatkan peretas untuk mencuri aset digital senilai US$3,3 juta dari beragam alamat vanity untuk crypto ETH.
Cointelegraph melaporkan, pada 20 September lalu, perusahaan market maker kripto Wintermute mengklaim mengalami peretasan senilai US$160 juta. Perusahaan tersebut berkata peretasan terjadi akibat alamat vanity yang diciptakan memakai Profanity.
Menurut periset Ajay Dhingra, peretasan Wintermute dapat terjadi akibat hot wallet perusahaan itu dibobol dan manipulasi bug dalam smart contract.
Pendiri dan CEO Wintermute, Evgeny Gaevoy, menghimbau peretas agar segera menghubunginya. Gaevoy menjelaskan, pihaknya bersedia memperlakukan eksploitasi itu sebagai peretasan white hat.
Kendati pasar kripto merosot, peretasan terus terjadi di sektor keuangan desentralistik (DeFi) dengan total kerugian melebihi US$1,6 milyar pada tahun 2022. [ed]
