Tidak diragukan lagi teknologi blockchain membawa inovasi dan kenyamanan bagi kita, itu juga merupakan mesin uang otomatis yang besar bagi para peretas. Terlalu sering kita mendengar berita tentang rantai ini diretas, crypto itu dieksploitasi dan jika hanya satu hari tidak ada lagi peretasan, itu akan benar-benar menjadi berita utama. Sekali lagi, peretasan crypto lainnya terjadi minggu ini – dompet crypto berbasis Solana disusupi. Jumlah total dolar AS yang diretas tidak terlalu banyak dibandingkan dengan eksploitasi besar tersebut, tetapi cukup menakutkan untuk membuat pengguna berpikir dua kali sebelum menggunakan aplikasi berbasis Solana lagi.
Pada tanggal 3 Agustus, banyak pengguna men-tweet bahwa aset kripto mereka di dompet Phantom, dompet kripto berbasis Solana lainnya, telah ditransfer tanpa pemberitahuan. Awalnya sangat membingungkan karena banyak dari mereka tidak pernah memberikan persetujuan ke situs mana pun atau menandatangani transaksi apa pun sebelum peretasan. Orang-orang mulai berpikir jika blockchain Solana telah disusupi. Sehari kemudian, ternyata dompet Slope Finance yang disalahkan. Itu bukan kesalahan persetujuan atau transaksi tetapi kebocoran frase benih. Eksploitasi tersebut diketahui oleh pengembang Solana bahwa sementara pengguna Slope mengunduh dan menginstal aplikasi di ponsel mereka (baik iOS dan Android), aplikasi seluler itu sendiri akan memicu log peristiwa dan mengunggahnya ke platform pencatatan peristiwa 'Sentry'. Semuanya diunggah tanpa sensor, begitu pula seed frase. Jika pengguna Slope ternyata menggunakan seed frase yang sama dari dompet Phantom-nya, maka kedua dompet tersebut dikompromikan pada saat yang bersamaan.
Log peristiwa yang berisi frase awal dompet telah diunggah ke Sentry. Sumber:@Zellic_io &@sniko_
Menurut temuan firma audit blockchain Zellic, Slope baru menggunakan layanan Sentry selama satu minggu hingga serangan itu terjadi. Log peristiwa yang diunggah ke Sentry tidak diungkapkan secara publik, sehingga siapa pun yang memiliki akses ke Sentry, dapat menelusuri semuanya dan melakukan triknya. Ini berarti pelakunya kemungkinan besar adalah orang dalam Slope atau Sentry. Dalam kata-kata Solana Foundation, "Ini tampaknya bukan bug dengan kode inti Solana, tetapi dalam perangkat lunak yang digunakan oleh beberapa dompet perangkat lunak yang populer di kalangan pengguna jaringan." Yah, itu bukan kesalahan Solana, selanjutnya.
Pernyataan pengembang Solana. Sumber:@SolanaStatus
Kasus ini terjadi setengah tahun yang lalu, pada bulan Februari 2022, jaringan Wormhole dieksploitasi untuk 120k ETH terbungkus yang bernilai US$312 juta pada saat itu. Wormhole adalah platform DeFi yang berfungsi sebagai jembatan token yang mengikat beberapa rantai bernilai tinggi. Jembatan blockchain adalah protokol yang menghubungkan dua atau lebih blockchain yang berbeda, memberikan kemudahan bagi kita semua pengguna crypto untuk bertukar crypto cross-chain, namun, itu juga cukup dapat dieksploitasi. Pengembang perlu menulis beberapa kontrak pintar untuk setiap rantai yang tersedia di jembatan. Dalam kasus ini, ada satu smart contract di Solana dan satu lagi di Ethereum, sedangkan peretasan terjadi di pihak Solana. Tanpa terlalu banyak membahas detail teknis, singkatnya, peretas mengeksploitasi smart contract Solana Wormhole, mencetak 120k ETH yang dibungkus pada blockchain Solana dan kemudian menebus 93.750 darinya ke jaringan Ethereum. Sekali lagi, kita dapat melihat dengan jelas kesalahan ada pada pengembang. Hal yang sama juga berlaku untuk kasus Slope.
Alamat dompet yang menyimpan kekayaan yang diretas Wormhole, masih ada di sana, mungkin menunggu kesempatan terbaik untuk menguangkan. Sumber:
https://etherscan.io/address/0x629e7da20197a5429d30da36e77d06cdf796b71a
Rupanya, seperti yang dikatakan Solana Foundation, kode inti Solana berjalan dengan baik, tetapi pengembangnya tidak. Bandingkan dengan Ethereum veteran berusia 7 tahun, Solana yang diluncurkan hanya pada Maret 2020, masih dianggap 'segar' bagi sebagian besar pengembang di luar sana. Sementara saya hanya bisa membaca kontrak pintar Ethereum, yang saya pahami dari para ahli blockchain adalah bahwa kontrak pintar Solana bertindak berbeda dari kontrak pintar biasa. Jadi, jika pengembang tidak memiliki cukup pengalaman pengkodean kontrak pintar Solana, produk akhir mungkin akan meledak entah bagaimana, di suatu tempat. Dapat dimengerti untuk mendukung inovasi baru di ruang blockchain, tetapi jika Anda hanya seorang investor kecil seperti saya, bukankah ada proyek yang lebih baik untuk didukung daripada proyek yang terus memberi Anda kejutan yang tidak perlu entah dari mana?
Ditulis oleh: [Coinlive] Nell
Explore the unexpected implications of the SEC X account hack on the approval process of Bitcoin Spot ETFs. This article delves into the interplay between cybersecurity and financial regulation, analyzing how this incident might reshape the future of cryptocurrency investment.
WeiliangDive into the captivating journey of the Spot Bitcoin ETF's approval. Explore a decade of challenges, regulatory milestones, and pivotal moments that led to this historic achievement in the crypto world.
AnaisExplore Circle Internet's landmark IPO and its impact on the crypto and financial worlds. Discover how this event symbolizes the fusion of digital currencies with traditional finance, paving the way for a new era in financial technology.
WeiliangExplore the latest developments in the complex legal and financial saga of Gemini Earn, Genesis, and DCG as of 2024, including restructuring plans, court rulings, and user reactions.
MiyukiDiscover the inside story of JPMorgan Chase's account freezes. Uncover customer experiences, bank policies, legal implications, and resolution strategies in our comprehensive analysis.
WeiliangExplore the groundbreaking launch of Magic Square's $SQR Token, backed by Binance Labs and KuCoin Labs. Discover its technological innovations, market impact, and potential to revolutionize various industries.
WeiliangExplore the intricate legal battle of Do Kwon, the former CEO of Terra Labs, as he seeks a delay in his SEC trial while awaiting extradition from Montenegro. Dive into the complexities of cryptocurrency regulation and international law in this detailed analysis.
MiyukiExplore our in-depth analysis of the recent six-year high in Bitcoin miner outflows and its implications on the crypto market ahead of the upcoming Bitcoin halving.
MiyukiExplore the intriguing story of a Dutch law student's rise and fall in the world of cryptocurrency, highlighting the challenges and lessons learned from a €10 million scam. Discover the intersection of law, ethics, and digital finance in this compelling narrative.
WeiliangExplore the intriguing and cautionary tale of HyperVerse, a cryptocurrency fund led by a mysterious CEO, accused of fraud and pyramid scheme activities. Discover the allure of celebrity endorsements, regulatory oversights, and the ripple effect on investors and the crypto industry in this gripping narrative.
Miyuki