Token pesaing Dogecoin (DOGE), yakni Shiba Inu (SHIB), senilai Rp28 milyar turut dicuri dalam kasus peretasan kripto Rp8 triliun di PolyNetwork, kemarin.
Shiba Inu (SHIB) Dicuri, 259 Milyar SHIB
Terpantau dari address peretas yang diumumkan oleh pihak pengelola PolyNetwork, ada 259.737.345.149,52 SHIB.
Dengan harga SHIB ketika artikel ini ditulis, US$0,000008 per SHIB, maka SHIB sebanyak itu setara dengan US$2.046.730,28 (Rp28 milyar).
Sebelumnya, pihak developer Shiba Inu memastikan kasus pencurian SHIB itu tidak ada hubungannya dengan sistem kripto yang dikelolanya.
Kasus ini murni peretasan di tubuh PolyNetwork sendiri, karena SHIB memang tersimpan di situ.
Sadly, the biggest hack in #DeFi's history was perpetrated today against an important actor in the crypto world. $Shib tokens have been mentioned as one of the assets taken. To avoid any confusion we wanted to make it clear that this has not affected our ecosystem in any way.
— SHIB INFORMER (@ShibInformer) August 10, 2021
SHIB senilai itu termasuk 4 terbesar dari 61 kripto yang dicuri. Kripto bernilai terbesar adalah DAI (US$92.978.493,41), kemudian WBTC (US$47.309.520,18), USDT (US$33.431.213,90).
Pihak perusahaan Tether mengumumkan sudah menandai dan membekukan transaksi USDT itu.
. @Tether_to just froze ~33M $USDt on 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 as part of the #PolyNetwork hack https://t.co/EviPTAkQJD
— Paolo Ardoino (@paoloardoino) August 10, 2021
Pihak Binance dan OKEx juga sudah melakukan langkah serupa, agar peretas tidak bisa menjual kripto hasil curian itu.
Penyebab Masih Simpang Siur
Kasus peretasan DeFi di PolyNetwork tergolong yang terbesar sepanjang sejarah DeFi yang marak sejak tahun 2020 silam.
Dilansir dari Decrypt, Rabu (11/8/2021), berdasarkan kajian BlockSec, peretasan itu bisa jadi merupakan hasil dari “kebocoran private key yang digunakan untuk menandatangani (sign) pesan antar blockchain” atau ” bug dalam proses penandatanganan PolyNetwork yang telah disalahgunakan untuk menandatangani pesan yang dibuat.”
Pengembang Ethereum dan peneliti keamanan Mudit Gupta menulis, bahwa PolyNetwork menggunakan dompet multisig (setiap transaksi perlu lebih dari dua tandatangan) untuk transaksi.
Berbeda dengan Gupta, tim keamanan dari Blockchain SlowMist mengatakan bukan itu yang terjadi.
We are aware of the https://t.co/IgGJ0598Q0 exploit that occurred today. While no one controls BSC (or ETH), we are coordinating with all our security partners to proactively help. There are no guarantees. We will do as much as we can. Stay #SAFU. 🙏 https://t.co/TG0dKPapQT
— CZ 🔶 Binance (@cz_binance) August 10, 2021
“Peretas justru mengambil keuntungan dari kelemahan dalam fungsi smart contract untuk mengubah pihak yang seharus mengotorisasi, mengalihkan aliran dana ke address penyerang itu sendiri. Jadi, ini bukan karena kebocoran private key,” jelasnya.
Pihak PolyNetwork sendiri mengklaim, bahwa penyebabnya adalah celah keamanan yang ada di smart contract-nya.
After preliminary investigation, we located the cause of the vulnerability. The hacker exploited a vulnerability between contract calls, exploit was not caused by the single keeper as rumored.
— Poly Network (@PolyNetwork2) August 10, 2021
Beberapa hari sebelum kasus ini menyeruak, perusahaan peneliti kripto, ChiperTrace mengatakan, bahwa nilai peretasan terkait kripto pada tahun lalu mencapai Rp6,8 triliun. Modus paling umum adalah rug pull, di mana pihak developer sendiri yang melakukan pencurian, berkat celah keamanan di smart contract DeFi.
Pihak PolyNetwork di Telegram resminya sejauh ini menolak anggapan rug pull. Bahkan mereka berencana “mengkasuskan” ini kepada pihak kepolisian.
Proyek PolyNetwork termasuk proyek raksasa jika ditinjau dari jumlah kemitraan mereka yang mencapai belasan pihak.
Sebelumnya, PolyNetwork juga bekerjasama dengan Blockchain Service Network (BSN), proyek blockchain lintas platform yang didukung oleh Pemerintah Tiongkok.
Inisiator utama proyek ini adalah dari NEO Foundation pimpinan Da Hongfei, asal Tiongkok.
Kasus PolyNetwork menjadi cerminan betapa masih rapuhnya teknologi blockchain, khususnya di aspek smart contract.
Walaupun sejumlah smart contract sudah diaudit oleh perusahaan ternama, tetap saja celah masih ada, karena developer si empunya proyek, bisa kapan saja menulis kode smart contract yang berbeda, kendati perubahannya dapat dengan mudah dilacak. [red]