Platform perdagangan mata uang kripto yang berbasis di London, Wintermute, melihat penyerang siber menghasilkan $160 juta minggu ini, kemungkinan karena kerentanan keamanan yang ditemukan dalam kode mitra. Insiden tersebut menunjukkan keprihatinan mendalam seputar penerapan keamanan untuk sektor keuangan ini, kata para peneliti.
Pendiri dan CEO Wintermute Evgeny Gaevoy turun ke Twitter untuk mengatakan bahwa pencurian itu ditujukan pada lengan keuangan terdesentralisasi (DeFi) perusahaan, dan bahwa sementara insiden itu mungkin mengganggu beberapa operasi "selama beberapa hari," perusahaan tidak terpengaruh secara eksistensial.
"Kami pelarut dengan dua kali lebih dari jumlah itu dalam ekuitas yang tersisa," dia tweeted. โJika Anda memiliki perjanjian [pengelolaan uang] dengan Wintermute, dana Anda aman. Akan ada gangguan dalam layanan kami hari ini dan berpotensi untuk beberapa hari ke depan dan akan kembali normal setelahnya.โ
Dia juga mengatakan bahwa sekitar 90 aset diserang, dan mengajukan banding kepada pelakunya: โKami (masih) terbuka untuk memperlakukan ini sebagai [insiden] topi putih, jadi jika Anda adalah penyerang โ hubungi.โ
Sementara itu, jelasnya untuk Forbes bahwa komentar "topi putih" berarti bahwa Wintermute menawarkan "hadiah bug" senilai $16 juta, jika penyerang siber mengembalikan $144 juta yang tersisa.
Dipenuhi dengan Kata-kata Tidak Senonoh
Dia juga mengatakan kepada outlet tersebut bahwa pencurian kemungkinan melacak kembali ke bug dalam layanan yang disebut Profanity, yang memungkinkan pengguna untuk menetapkan pegangan ke akun cryptocurrency mereka (biasanya nama akun terdiri dari string huruf dan angka yang panjang dan omong kosong). Kerentanan, diungkapkan minggu lalu, memungkinkan penyerang untuk mengungkap kunci yang digunakan untuk mengenkripsi dan membongkar dompet Ethereum yang dibuat dengan Profanity.
Wintermute menggunakan 10 akun yang dihasilkan oleh Profanity untuk melakukan perdagangan cepat sebagai bagian dari bisnis DeFi-nya, menurut Forbes. Jaringan DeFi menghubungkan berbagai blockchain cryptocurrency untuk menciptakan infrastruktur terdesentralisasi untuk peminjaman, perdagangan, dan transaksi lainnya. Ketika berita tentang bug tersebut tersebar, perusahaan crypto mencoba untuk membuat akun offline, tetapi karena โkesalahan manusiaโ, salah satu dari 10 akun tetap rentan dan memungkinkan penyerang masuk ke sistem, kata Gaevoy.
โBeberapa dari teknologi [DeFi] ini juga melibatkan integrasi dan koneksi pihak ketiga di mana perusahaan mungkin tidak memiliki kemampuan untuk mengontrol kode sumber, yang mengarah pada risiko tambahan bagi perusahaan,โ Karl Steinkamp, โโdirektur di Coalfire, mengatakan kepada Dark Reading. โDalam hal ini, penyedia alamat aset digital kesombongan, Profanity, dimanfaatkan dalam serangan itu โฆ Kesalahan yang mahal dan dapat dicegah untuk Wintermute.โ
Pertukaran DeFi Akan Tumbuh sebagai Target
Analis dengan Uskup Fox awal tahun ini menemukan bahwa Platform DeFi kehilangan $1.8 miliar terhadap serangan siber pada tahun 2021 saja. Dengan total 65 peristiwa yang diamati, 90% dari kerugian berasal dari serangan yang tidak canggih, menurut laporan tersebut, yang menunjuk ke kesulitan dalam mengunci sektor, yang mengandalkan transaksi otomatis.
Dan, baru bulan lalu, FBI mengeluarkan sebuah peringatan bahwa penjahat dunia maya semakin mengeksploitasi kerentanan dalam platform DeFi untuk mencuri cryptocurrency, hingga $ 1.3 miliar yang ditangkap antara Januari dan Maret 2022 saja.
Para peneliti mencatat bahwa peningkatan adopsi dan apresiasi harga aset digital telah dan akan terus menarik perhatian individu jahat โ seperti halnya kondisi keamanan yang lemah di area DeFi.
โBanyak dari perusahaan-perusahaan ini tumbuh dengan sangat cepat, akuisisi pelanggan adalah fokus utama mereka,โ kata Mike Puterbaugh, CMO di Pathlock. โJika keamanan internal dan kontrol akses sekunder untuk 'tumbuh dengan segala cara,' akan ada celah dalam keamanan aplikasi yang akan dieksploitasi.โ
Hambatan dalam menopang keamanan DeFi sangat banyak; Kepala Wintermute mencatat bahwa menemukan alat yang tepat itu sulit.
โAnda perlu menandatangani transaksi dengan cepat, dalam hitungan detik,โ kata Gaevoy kepada Forbes, menambahkan bahwa Wintermute harus membuat protokol keamanannya sendiri karena alatnya kurang. Dia juga mengakui bahwa Profanity tidak menawarkan otentikasi multifaktor, tetapi perusahaan tetap memutuskan untuk menggunakan layanan tersebut. โPada akhirnya, itulah risiko yang kami ambil. Itu sudah dihitung,โ imbuhnya.
Steinkamp mencatat, โTergantung pada arsitektur platform DeFi, mungkin ada banyak tantangan dalam mengamankannya. Ini mungkin berkisar dari risiko dari pihak ketiga, hingga bug crypto-bridge, kesalahan manusia, dan kurangnya pengembangan perangkat lunak yang aman, untuk menyebutkan beberapa saja.
Dan Puterbaugh menunjukkan bahwa bahkan dengan kontrol dan konfigurasi out-of-the-box diaktifkan, kustomisasi dan integrasi dapat menciptakan kelemahan dalam keamanan secara keseluruhan.
Praktik Terbaik untuk Mendukung Keamanan DeFi
Terlepas dari tantangannya, tetap ada pendekatan praktik terbaik yang harus diterapkan oleh platform DeFi.
Misalnya, Puterbaugh menganjurkan penerapan kontrol akses dengan setiap penerapan aplikasi baru, bersama dengan pemeriksaan berkelanjutan untuk konflik akses atau kerentanan aplikasi, sebagai kunci, terutama ketika berhadapan dengan mata uang digital yang mudah dibawa-bawa.
Juga, โperusahaan dalam ruang DeFi perlu secara rutin melakukan pengujian internal dan eksternal platform mereka untuk terus memastikan mereka mengurangi ancaman secara proaktif,โ menurut Steinkamp. Dia menambahkan bahwa perusahaan juga harus menerapkan langkah-langkah keamanan tambahan yang ditingkatkan sebagai bagian dari keamanan transaksional, termasuk otentikasi multifaktor dan pemicu peringatan pada transaksi yang mencurigakan dan/atau berbahaya.
Setiap lapisan membantu, tambahnya. "Mana yang ingin Anda coba akses: rumah dengan pintu terbuka atau kastil dengan parit dan jembatan tarik?" dia berkata. โPerusahaan DeFi akan terus menjadi target utama oleh pencuri dunia maya sampai mereka menerapkan keamanan yang memadai dan kontrol proses untuk membuat serangan terhadap platform mereka menjadi kurang menarik.โ
