Cryptoverse: Jembatan Blockchain Jatuh ke Air Bermasalah

Representasi cryptocurrency Bitcoin, Ethereum dan Dash tenggelam ke dalam air dalam ilustrasi ini diambil pada 23 Mei 2022. REUTERS / Dado Ruvic / Ilustrasi

9 Agustus (Reuters) – Suatu hari, peretasan lain dan jembatan blockchain lainnya terbakar.

Ketika pencuri mencuri sekitar $ 190 juta dari perusahaan crypto AS Nomad minggu lalu, itu adalah peretasan ketujuh tahun 2022 yang menargetkan roda penggerak yang semakin penting dalam mesin crypto: “jembatan” Blockchain – rangkaian kode yang membantu memindahkan cryptocurrency antar aplikasi. Baca lebih banyak

Sejauh tahun ini, peretas telah mencuri crypto senilai hampir $1,2 miliar dari jembatan, data dari perusahaan analitik blockchain yang berbasis di London Elliptic sudah menunjukkan, lebih dari dua kali lipat total tahun lalu.

“Ini adalah perang di mana baik perusahaan keamanan siber maupun proyek pemenang tidak dapat menjadi pemenangnya,” kata Rongwe Ho, seorang profesor ilmu komputer di Universitas Columbia di New York dan salah satu pendiri perusahaan keamanan siber CertiK.

“Kami harus melindungi banyak proyek. Bagi mereka (para peretas) ketika mereka melihat satu proyek dan tidak ada kesalahan, mereka dapat dengan mudah beralih ke proyek berikutnya, sampai mereka menemukan satu titik lemah.”

Saat ini, sebagian besar token digital berjalan di blockchain unik mereka sendiri, yang pada dasarnya adalah buku besar digital publik yang mencatat transaksi kripto. Ini berisiko proyek menggunakan koin ini menjadi terisolasi, mengurangi potensi untuk digunakan secara luas.

Jembatan Blockchain bertujuan untuk meruntuhkan tembok ini. Pendukung mengatakan mereka akan memainkan peran kunci dalam ‘Web3’ – visi yang sangat populer dari masa depan digital di mana cryptocurrency terlibat dalam kehidupan online dan perdagangan.

Tapi jembatan bisa menjadi mata rantai terlemah.

Peretasan Nomad adalah pencurian crypto terbesar kedelapan dalam catatan. Pencurian jembatan lainnya tahun ini termasuk pencurian $615 juta di Ronin, yang digunakan dalam game online populer, dan $320 juta di Wormhole, yang digunakan dalam apa yang disebut aplikasi keuangan terdesentralisasi. Baca lebih banyak

“Blockchain bridge adalah lahan paling subur untuk kerentanan baru,” kata Steve Pacey, salah satu pendiri dan CEO pendeteksi malware PolySwarm.

Tumit Achilles

Nomad dan perusahaan lain yang membuat perangkat lunak jembatan blockchain telah menarik dukungan.

Hanya lima hari sebelum diretas, Nomad yang berbasis di San Francisco mengatakan telah mengumpulkan $ 22,4 juta dari investor termasuk pertukaran utama Coinbase Global. (COIN.O). CEO dan salah satu pendiri Nomad Pranai Mohan menggambarkan model keamanannya sebagai “standar emas”.

Nomad tidak menanggapi permintaan komentar.

Dia mengatakan dia bekerja dengan lembaga penegak hukum dan perusahaan analisis blockchain untuk melacak dana yang dicuri. Akhir pekan lalu, ia mengumumkan hadiah hingga 10% untuk mengembalikan dana yang diretas dari jembatan. Pada hari Sabtu, dikatakan telah memulihkan lebih dari $32 juta dana yang diretas sejauh ini.

“Hal terpenting dalam crypto adalah komunitas, dan tujuan nomor satu kami adalah mendapatkan kembali uang pengguna yang saling terhubung,” kata Mohan. “Kami akan memperlakukan pihak mana pun yang mengembalikan 90% atau lebih dari dana yang digunakan sebagai white hat. Kami tidak akan menuntut white hat,” katanya, merujuk pada apa yang disebut sebagai peretas etis.

Beberapa pakar keamanan dunia maya dan blockchain mengatakan kepada Reuters bahwa kompleksitas jembatan berarti bahwa mereka dapat menjadi kelemahan proyek dan aplikasi yang menggunakannya.

Ganesh Swami, CEO perusahaan data blockchain Covalent di Vancouver, yang menyimpan beberapa cryptocurrency di jembatan Nomad ketika diretas, mengatakan.

Misalnya, beberapa jembatan membuat salinan cryptocurrency yang membuatnya kompatibel dengan rantai blok yang berbeda, sambil menyimpan koin asli sebagai cadangan. Yang lain mengandalkan kontrak pintar, janji kompleks yang secara otomatis mengeksekusi kesepakatan.

Kode yang terlibat dapat memiliki semua bug ini atau kekurangan lainnya, yang dapat membuka pintu bagi peretas.

Hadiah bug

Jadi apa cara terbaik untuk mengatasi masalah tersebut?

Beberapa ahli mengatakan audit kontrak pintar dapat membantu melindungi terhadap pencurian dunia maya, serta program “karunia bug” yang mendorong tinjauan sumber terbuka dari kode kontrak pintar.

Yang lain meminta lebih sedikit fokus pada kontrol jembatan oleh masing-masing perusahaan, sesuatu yang mereka katakan dapat meningkatkan fleksibilitas dan transparansi kode.

“Jembatan di seluruh rantai adalah target yang menarik bagi peretas karena mereka sering memanfaatkan infrastruktur terpusat, yang sebagian besar mengunci aset,” kata Victor Young, pendiri dan kepala arsitek perusahaan blockchain AS Analog.

Pelaporan tambahan oleh Tom Wilson di London dan Medha Singh di Bengaluru; Diedit oleh Praveen Shar

Kriteria kami: Prinsip Kepercayaan Thomson Reuters.