Bagaimana Peretas PolyNetwork Mencuri $600 Juta? Pakar Keamanan Tunjuk Jari

Lebih dari tujuh jam setelah pertama kali dilaporkan, detail tentang eksploitasi yang meraup $600 juta aset digital dari PolyNetwork lambat muncul. Dengan tidak adanya audit yang komprehensif, kelompok keamanan siber telah mengucapkan kata-kata yang sama kepada para pemrogram di belakang jaringan kompatibilitas lintas-rantai: Ini terserah Anda.

Dana yang terkait dengan serangan itu telah dilacak ke tiga alamat terpisah — masing-masing di Ethereum, Rantai Cerdas Binance, dan Poligon.

Mengenai rantai peristiwa yang menghasilkan dana yang salah di sana, para pakar keamanan memiliki pendapat yang berbeda—beberapa bahkan menuduh rekan-rekan mereka menyesatkan publik.

Menurut analisis awal oleh auditor keamanan BlockSec yang berbasis di China, yang diperingatkan belum diverifikasi, pencurian itu bisa menjadi hasil dari “kebocoran kunci pribadi yang digunakan untuk menandatangani pesan lintas rantai” atau “ bug dalam proses penandatanganan PolyNetwork yang telah disalahgunakan untuk menandatangani pesan yang dibuat.”

Peneliti lain juga menyindir praktik keamanan yang buruk mungkin telah menyebabkan pencurian kunci pribadi yang digunakan oleh tim PolyNetwork untuk mengotorisasi transaksi.

Pengembang Ethereum dan peneliti keamanan Mudit Gupta menulis bahwa PolyNetwork menggunakan dompet multisig untuk transaksi. Dalam konfigurasinya, empat orang memiliki akses ke kunci untuk menandatangani transaksi, dan tiga orang harus menandatangani: "Penyerang mendapatkan setidaknya 3 penjaga dan kemudian menggunakannya untuk mengubah penjaga menjadi satu penjaga." Akibatnya, peretas mengunci mereka. (Gupta awalnya mengira Poly menggunakan multisig 1/1.)

Tim keamanan Blockchain SlowMist mengatakan bukan itu yang terjadi. Sebaliknya, katanya, penyerang mengambil keuntungan dari kelemahan dalam fungsi kontrak pintar untuk mengubah penjaganya, mengalihkan aliran dana ke alamat penyerang itu sendiri. “Bukannya peristiwa ini terjadi karena kebocoran kunci pribadi penjaga,” itu melaporkan.

PolyNetwork me-retweet posting blog, sementara Gupta sangat tidak setuju dengan SlowMist, menunjukkan impotensi atau korupsi.

Terlepas dari apakah penyerang memperoleh kunci pribadi atau mengeksploitasi kontrak pintar yang lemah, salah satu cara untuk melakukan salah satu dari hal itu adalah dengan bertanggung jawab. Tapi apakah itu pekerjaan orang dalam? Lagi pula, menurut perusahaan analitik blockchain CipherTrace, apa yang disebut tarikan karpet, sejenis penipuan keluar, adalah bentuk penipuan kripto yang paling populer tahun lalu. 

Terlalu dini untuk mengatakannya. SlowMist mengatakan "telah menangkap kotak surat penyerang, IP, dan sidik jari perangkat melalui pelacakan on-chain dan off-chain, dan melacak kemungkinan petunjuk identitas yang terkait dengan penyerang Poly Network." Tetapi penyelidikannya belum mengarah pada seorang eksekutif di Poly yang memegang pistol. (Atau, jika sudah, SlowMist belum mengatakannya.)

Sementara itu, tidak jelas apakah penyerang akan dapat menggunakan dana tersebut. PolyNetwork juga telah meminta “penambang dari blockchain dan pertukaran crypto yang terpengaruh untuk memasukkan token daftar hitam” dari alamat pengeksploitasi. Sebagai tanggapan, Tether mengatakan membekukan $33 juta dalam USDT terkait dengan serangan itu, sementara eksekutif di Binance, OKEx, dan Huobi berjanji untuk membantu membatasi kerusakan.

Peretas, bagaimanapun, telah mengambil mengeluarkan ejekan dari blockchain Ethereum, dengan menambahkan pesan ke blok. “BAGAIMANA JIKA SAYA MEMBUAT TOKEN BARU DAN MEMBIARKAN DAO MEMUTUSKAN KE MANA TOKEN PERGI,” tulis mereka dalam satu pesan.

Mungkin, tapi mungkin orang lain harus menulis kontrak pintar untuk itu.

Sumber: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers