Dana hasil ICO milik SpankChain, perusahaan bisnis hiburan dewasa, digondol peretas. Pengelola harus menerima kenyataan pahit kehilangan duit setara dengan US$42 ribu. Peristiwa tersebut terjadi pada pukul 8 pagi, Sabtu lalu (6/10) dan baru tercium oleh media hari ini, sebagaimana yang dilansir dari CCN malam ini. Peretas berhasil memanfaatkan bug yang terdapat pada salah satu smart contract token ICO mereka, yakni BOOTY. Sejumlah 165,38 ETH (setara Rp579 juta) plus token BOOTY senilai US$4 ribu berhasil dinikmati sang peretas.
Perusahaan pengelola SpankChain baru menyadari peretasan itu pada keesokan harinya, yang memaksa mereka menutup sementara websitenya untuk mencegah pembobolan lebih jauh.
“Kami baru menyadari adanya peretasan pada Minggu pagi. Padahal kami saat itu sedang dalam proses audit terhadap smart contract yang kami gunakan untuk menemukan sejumlah bug,” demikian pengumuman oleh perusahaan.
Menurut SpankChain, peretas berjaya mengeksploitasi bug “reentrancy”, serupa yang pernah terjadi pada kasus peretasan DAO, 17 Juni 2016 silam. ETH yang melayang pada saat itu setara dengan US$70 juta.
“Secara singkat, serangan itu menggunakan bug “reentrancy”. Polanya mirip seperti serangan terhadap DAO. Peretas membuat serangkaian kode program, sehingga bisa menyamar sebagai sebuah token ERC-20. Itu yang menyebabkan fungsi transfer disimpan beberapa kali ke dalam kontrak kanal pembayaran, dan mengambil sejumlah ETH,” tulis SpankChain.
SpankChain mengakui memang gagal membayar jasa audit keamanan atas kanal pembayaran pada smart contract yang mereka gunakan. Biayanya sekitar US$50 ribu atau sedikit lebih tinggi berbanding dengan duit yang raib itu. Karena peretasan terlanjur terjadi, akhirnya biaya audit pun harus digelontorkan.
Memang sebagian besar dana yang hilang adalah milik SpankChain. Tetapi sekitar US$9.300 yang dicuri adalah milik pengguna SpankPay. Perusahaan akhirnya memutuskan akan mengganti rugi duit tersebut pada pekan depan.
Pada tahun lalu proyek ICO SpankChain berhasil meraup dana publik hingga setara US$7,2 juta. Namun, sejatinya kasus ini menambah daftar panjang kasus peretasan di dunia kripto gara-gara kode smart contract yang bermasalah. [vins]
Disclaimer: Seluruh konten yang diterbitkan di Blockchainmedia.id, baik berupa artikel berita, analisis, opini, wawancara, liputan khusus, artikel berbayar (paid content), maupun artikel bersponsor (sponsored content), disediakan semata-mata untuk tujuan informasi dan edukasi publik mengenai teknologi blockchain, aset kripto, dan sektor terkait. Meskipun kami berupaya memastikan akurasi dan relevansi setiap konten, kami tidak memberikan jaminan atas kelengkapan, ketepatan waktu, atau keandalan data dan pendapat yang dimuat. Konten bersifat informatif dan tidak dapat dianggap sebagai nasihat investasi, rekomendasi perdagangan, atau saran hukum dalam bentuk apa pun. Setiap keputusan finansial yang diambil berdasarkan informasi dari situs ini sepenuhnya merupakan tanggung jawab pembaca. Blockchainmedia.id tidak bertanggung jawab atas kerugian langsung maupun tidak langsung, kehilangan data, atau kerusakan lain yang timbul akibat penggunaan informasi di situs ini. Pembaca sangat disarankan untuk melakukan verifikasi mandiri, riset tambahan, dan berkonsultasi dengan penasihat keuangan profesional sebelum mengambil keputusan yang melibatkan risiko keuangan.