Bug "di smart contract" peretas mencuri $31 juta koin digital

　　Bug “di smart contract” peretas mencuri $31 juta koin digital

　　dilansir dari: arstechnicaPerusahaan mengatakan telah menghubungi peretas dalam upaya untuk memulihkan dana.

　　Startup Blockchain MonoX Finance mengatakan pada hari Rabu bahwa seorang peretas mencuri $ 31 juta dengan mengeksploitasi bug dalam perangkat lunak yang digunakan layanan untuk menyusun kontrak pintar.

　　Perusahaan menggunakan protokol keuangan terdesentralisasi yang dikenal sebagai MonoX yang memungkinkan pengguna memperdagangkan token mata uang digital tanpa beberapa persyaratan pertukaran tradisional. “Pemilik proyek dapat mendaftarkan token mereka tanpa beban persyaratan modal dan fokus menggunakan dana untuk membangun proyek alih-alih menyediakan likuiditas,” perwakilan perusahaan MonoX mengatakan di sini.

　　“Ini bekerja dengan mengelompokkan token yang disimpan ke dalam pasangan virtual dengan vCASH, untuk menawarkan desain kumpulan token tunggal.”

　　Kesalahan akuntansi yang dibangun ke dalam perangkat lunak perusahaan memungkinkan penyerang menaikkan harga token MONO dan kemudian menggunakannya untuk mencairkan semua token yang disimpan lainnya, MonoX Finance mengungkapkan dalam sebuah posting.

　　Hasil tangkapan tersebut berjumlah token senilai $31 juta pada blockchain Ethereum atau Polygon, yang keduanya didukung oleh protokol MonoX.

　　Secara khusus, peretasan menggunakan token yang sama dengan tokenIn dan tokenOut, yang merupakan metode untuk menukar nilai satu token dengan token lainnya. MonoX memperbarui harga setelah setiap swap dengan menghitung harga baru untuk kedua token. Ketika swap selesai, harga tokenIn—yaitu, token yang dikirim oleh pengguna—turun dan harga tokenOut—atau token yang diterima oleh pengguna—meningkat.

　　Dengan menggunakan token yang sama untuk tokenIn dan tokenOut, peretas sangat menaikkan harga token MONO karena pembaruan tokenOut menimpa pembaruan harga tokenIn. Peretas kemudian menukar token tersebut dengan token senilai $31 juta di blockchain Ethereum dan Polygon.

　　Tidak ada alasan praktis untuk menukar token dengan token yang sama, dan oleh karena itu perangkat lunak yang melakukan perdagangan seharusnya tidak pernah mengizinkan transaksi semacam itu. Sayangnya, memang demikian, meskipun MonoX menerima tiga audit keamanan tahun ini.

　　Perangkap smart contract

　　“Serangan semacam ini biasa terjadi dalam kontrak pintar karena banyak pengembang tidak bekerja keras untuk menentukan properti keamanan untuk kode mereka,” Dan Guido, seorang ahli dalam mengamankan kontrak pintar seperti yang diretas di sini. Mereka memiliki audit, tetapi jika audit hanya menyatakan bahwa orang yang cerdas melihat kode untuk jangka waktu tertentu, maka hasilnya bernilai terbatas.

　　Kontrak pintar membutuhkan bukti yang dapat diuji bahwa mereka melakukan apa yang Anda inginkan, dan hanya apa yang Anda inginkan. Itu berarti properti dan teknik keamanan yang ditentukan yang digunakan untuk mengevaluasinya.

　　CEO konsultan keamanan Trail of Bits, Guido melanjutkan:

　　Sebagian besar perangkat lunak memerlukan mitigasi kerentanan. Kami secara proaktif mencari kerentanan, mengakui bahwa mereka mungkin tidak aman saat menggunakannya, dan membangun sistem untuk mendeteksi ketika mereka dieksploitasi. Kontrak pintar membutuhkan penghapusan kerentanan. Teknik verifikasi perangkat lunak banyak digunakan untuk menawarkan jaminan yang dapat dibuktikan bahwa kontrak berfungsi sebagaimana dimaksud. Sebagian besar masalah keamanan dalam kontrak pintar muncul ketika pengembang mengadopsi pendekatan keamanan sebelumnya, bukan yang terakhir. Ada banyak kontrak dan protokol pintar yang besar, kompleks, dan sangat berharga yang telah menghindari insiden, di samping banyak yang langsung dieksploitasi saat diluncurkan.

　　Peneliti Blockchain Igor Igamberdiev turun ke Twitter untuk memecah susunan token yang dikeringkan. Token termasuk $18,2 juta dalam Wrapped Ethereum, $10,5 dalam token MATIC, dan WBTC senilai $2 juta. Hasil tangkapan juga mencakup sejumlah kecil token untuk Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi, dan Immutable X.

　　MonoX bukan satu-satunya protokol keuangan terdesentralisasi yang menjadi korban peretasan jutaan dolar. Pada bulan Oktober, Indexed Finance mengatakan kehilangan sekitar $16 juta dalam peretasan yang mengeksploitasi cara menyeimbangkan kembali kumpulan indeks. Awal bulan ini, perusahaan analisis blockchain Elliptic mengatakan apa yang disebut protokol DeFi telah kehilangan $ 12 miliar hingga saat ini karena pencurian dan penipuan. Kerugian dalam sekitar 10 bulan pertama tahun ini mencapai $10,5 miliar, naik dari $1,5 miliar pada tahun 2020.

　　“Ketidakmatangan relatif dari teknologi yang mendasari telah memungkinkan peretas untuk mencuri dana pengguna, sementara kumpulan likuiditas yang dalam telah memungkinkan penjahat untuk mencuci hasil. kejahatan seperti ransomware dan penipuan, ”kata laporan Elliptic. “Ini adalah bagian dari tren yang lebih luas dalam eksploitasi teknologi terdesentralisasi untuk tujuan terlarang, yang disebut Elliptic sebagai DeCrime.”

　　Posting MonoX hari Rabu mengatakan bahwa, selama sehari terakhir, anggota tim telah mengambil langkah-langkah berikut:

• 　　Mencoba melakukan kontak dengan penyerang untuk membuka dialog melalui mengirimkan pesan melalui transaksi di ETH Mainnet Menjeda

• 　　kontrak dan akan menerapkan perbaikan untuk menjalani lebih banyak pengujian yang ketat. Setelah datang dengan rencana kompensasi yang memadai, kami akan bekerja untuk melanjutkan setelah mitra keamanan kami memberikan OK

• 　　Menghubungi pertukaran besar untuk memantau dan mungkin menghentikan alamat dompet apa pun yang terkait dengan serangan itu

• 　　Berkolaborasi dengan penasihat keamanan kami untuk membuat kemajuan dalam mengidentifikasi peretas dan bagaimana untuk mengurangi risiko di masa depan

• 　　Interaksi dompet Tornado Cash Referensi silang dengan dompet yang juga menggunakan platform kami

• 　　Mencari metadata apa pun yang ditinggalkan oleh interaksi ujung depan dengan Dapp kami

• 　　Alamat dompet terperinci dan dipetakan yang dapat dianggap 'mencurigakan' berdasarkan interaksi mereka dengan produk kami. Misalnya, menghapus sejumlah besar likuiditas sebelum mengeksploitasi

• 　　Pemantauan berkelanjutan dompet dengan dana. Sejauh ini 100 ETH telah dikirim ke Tornado Cash dari dana yang dicuri. Sisanya masih ada.

• 　　Selain itu, kami akan mengajukan laporan polisi resmi.

　　Posting itu mengatakan MonoX Finance memiliki asuransi yang akan menanggung kerugian senilai $ 1 juta dan bahwa perusahaan sekarang sedang “mengerjakan distribusi.”