Cyberthreat.id - Hacker mencuri lebih dari $ 25 juta (Rp 387 miliar) dalam mata uang kripto (cryptocurrency) Ethereum dari platform pertukaran crypto Uniswap dan platform peminjaman Lendf.me. Serangan terjadi pada Sabtu-Minggu pekan lalu dan saat ini sedang dalam penyelidikan.

Para penyelidik meyakini dua serangan tersebut saling terkait dan kemungkinan besar dilakukan oleh pelaku yang sama.

Dalam melakukan aksinya para peretas menggunakan bug dan fitur yang sah dari berbagai teknologi blockchain untuk melakukan serangan reentrancy. Serangan ini memungkinkan peretas menarik dana berulang kali sebelum transaksi yang asli disetujui atau ditolak.

Serangan Reentrancy diyakini menjadi penyebab kerugian pada Uniswap dengan nominal antara  $ 300.000 dan $ 1,1 juta, sementara Lendf.me diperkirakan menderita kerugian lebih dari $ 24,5 juta.

Ada beberapa kesamaan antara Uniswap dan Lendf.me yang membuat keduanya dibobol oleh peretas seperti:

1. Protokol Lendf.me merupakan protokol desentralisasi keuangan (DeFi) yang dikembangkan oleh Yayasan dForce untuk mendukung operasi peminjaman pada platform Ethereum.

2. imBTC adalah sebuah token (koin) yang berjalan pada platform Ethereum dan dinilai pada tingkat 1:1 dengan cryptocurrency Bitcoin.

3. ERC-777 merupakan salah satu teknologi yang mendasari blockchain Ethereum untuk mendukung kontrak pintar / smart contract (baik Lendf.me dan imBTC dijalankan sebagai kontrak pintar pada platform Ethereum).

Tokenlon, sebuah perusahaan yang berada dibalik imBTC mengatakan, berdasarkan pengetahuan mereka, "token ERC-777 memiki standar dan tidak ada kerentanan keamanan. Namun, kombinasi penggunaan token ERC-777 dan kontrak Uniswap atau Lendf.Me memungkinkan terjadinya serangan Reentrancy," demikian keterangan Tokenlon dilansir ZDNet, Minggu (19 April 2020).

Tokenlon juga meyakini para peretas menggunakan eksploitasi yang diterbitkan pada Juli 2019 di GitHub oleh OpenZeppelin, sebuah perusahaan yang melakukan audit keamanan untuk platform cryptocurrency.

Para peretas menggunakan serangan reentrancy untuk menyedot dana dari setiap platform ke dompet mereka dan kemudian mentransfer semua dana tersebut ke akun lain.

Saat ini kedua situs web tersebut telah ditutup untuk mencegah serangan lebih lanjut. Tokenlon juga menangguhkan token imBTC-nya dan memblokir semua transaksi baru untuk mencegah peretas melakukan serangan baru terhadap platform lain. []

Redaktur: Arif Rahman