Bug Perangkat Lunak Membiarkan Peretas Menguras M Dari Layanan Crypto
Security

Bug Perangkat Lunak Membiarkan Peretas Menguras $31M Dari Layanan Crypto

Startup Blockchain MonoX Finance mengatakan pada hari Rabu bahwa seorang peretas mencuri $31 juta dengan mengeksploitasi bug dalam perangkat lunak yang digunakan layanan untuk merancang kontrak pintar.

Perusahaan menggunakan protokol keuangan terdesentralisasi yang dikenal sebagai MonoX yang memungkinkan pengguna memperdagangkan token mata uang digital tanpa beberapa persyaratan pertukaran tradisional. “Pemilik proyek dapat mendaftarkan token mereka tanpa beban persyaratan modal dan fokus menggunakan dana untuk membangun proyek alih-alih menyediakan likuiditas,” tulis perwakilan perusahaan MonoX pada bulan November. “Ini bekerja dengan mengelompokkan token yang disimpan ke dalam pasangan virtual dengan vCASH, untuk menawarkan desain kumpulan token tunggal.”

Kesalahan akuntansi yang dibangun ke dalam perangkat lunak perusahaan memungkinkan penyerang menaikkan harga token MONO dan kemudian menggunakannya untuk mencairkan semua token yang disimpan lainnya, MonoX Finance mengungkapkan dalam sebuah posting. Hasil tangkapan tersebut berjumlah token senilai $31 juta pada blockchain Ethereum atau Polygon, yang keduanya didukung oleh protokol MonoX.

Secara khusus, peretasan menggunakan token yang sama dengan tokenIn dan tokenOut, yang merupakan metode untuk menukar nilai satu token dengan token lainnya. MonoX memperbarui harga setelah setiap swap dengan menghitung harga baru untuk kedua token. Ketika swap selesai, harga tokenIn—yaitu, token yang dikirim oleh pengguna—turun dan harga tokenOut—atau token yang diterima oleh pengguna—meningkat.

Dengan menggunakan token yang sama untuk tokenIn dan tokenOut, peretas sangat menaikkan harga token MONO karena pembaruan tokenOut menimpa pembaruan harga tokenIn. Peretas kemudian menukar token tersebut dengan token senilai $31 juta di blockchain Ethereum dan Polygon.

Tidak ada alasan praktis untuk menukar token dengan token yang sama, dan oleh karena itu perangkat lunak yang melakukan perdagangan seharusnya tidak pernah mengizinkan transaksi semacam itu. Sayangnya, memang demikian, meskipun MonoX menerima tiga audit keamanan tahun ini.

Perangkap Kontrak Cerdas

“Serangan semacam ini biasa terjadi dalam kontrak pintar, karena banyak pengembang tidak bekerja keras untuk menentukan properti keamanan untuk kode mereka,” kata Dan Guido, seorang ahli dalam mengamankan kontrak pintar seperti yang diretas di sini. “Mereka memiliki audit, tetapi jika audit hanya menyatakan bahwa orang yang cerdas melihat kode untuk jangka waktu tertentu, maka hasilnya bernilai terbatas. Kontrak pintar membutuhkan bukti yang dapat diuji bahwa mereka melakukan apa yang Anda inginkan dan hanya apa yang Anda inginkan. Itu berarti properti keamanan yang ditentukan dan teknik yang digunakan untuk mengevaluasinya.”

CEO konsultan keamanan Trail of Bits, Guido melanjutkan:

Sebagian besar perangkat lunak memerlukan mitigasi kerentanan. Kami secara proaktif mencari kerentanan, mengakui bahwa mereka mungkin tidak aman saat menggunakannya, dan membangun sistem untuk mendeteksi ketika mereka dieksploitasi. Kontrak pintar membutuhkan penghapusan kerentanan. Teknik verifikasi perangkat lunak banyak digunakan untuk menawarkan jaminan yang dapat dibuktikan bahwa kontrak berfungsi sebagaimana dimaksud. Sebagian besar masalah keamanan dalam kontrak pintar muncul ketika pengembang mengadopsi pendekatan keamanan sebelumnya, bukan yang terakhir. Ada banyak kontrak dan protokol pintar yang besar, kompleks, dan sangat berharga yang telah menghindari insiden, di samping banyak yang langsung dieksploitasi saat diluncurkan.

Peneliti Blockchain Igor Igamberdiev dibawa ke Twitter untuk memecah susunan token yang dikeringkan. Token termasuk $18,2 juta dalam Wrapped Ethereum, $10,5 dalam token MATIC, dan WBTC senilai $2 juta. Hasil tangkapan juga mencakup sejumlah kecil token untuk Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi, dan Immutable X.

Hanya Peretasan DeFi Terbaru

MonoX bukan satu-satunya protokol keuangan terdesentralisasi yang menjadi korban peretasan jutaan dolar. Pada bulan Oktober, Indexed Finance mengatakan kehilangan sekitar $16 juta dalam peretasan yang mengeksploitasi cara menyeimbangkan kembali kumpulan indeks. Awal bulan ini, perusahaan analisis blockchain Elliptic mengatakan apa yang disebut protokol DeFi telah kehilangan $ 12 miliar karena pencurian dan penipuan. Kerugian dalam sekitar 10 bulan pertama tahun ini mencapai $10,5 miliar, naik dari $1,5 miliar pada tahun 2020.

“Ketidakmatangan relatif dari teknologi yang mendasarinya telah memungkinkan peretas untuk mencuri dana pengguna, sementara kumpulan likuiditas yang dalam telah memungkinkan penjahat untuk mencuci hasil kejahatan seperti ransomware dan penipuan,” kata laporan Elliptic. “Ini adalah bagian dari tren yang lebih luas dalam eksploitasi teknologi terdesentralisasi untuk tujuan terlarang, yang disebut Elliptic sebagai DeCrime.”


Posted By : hk hari ini keluar