Agustus telah menjadi bulan besar untuk peretasan karena salah satu yang terbesar dalam sejarah cryptocurrency dilakukan di Poly Network, dengan hasil yang aneh.
Serangan siber terhadap Jaringan Poly telah menjadi berita utama dengan beberapa tikungan aneh dan putaran yang menggaruk-garuk kepala. Dapat dibayangkan bahwa menjarah pertukaran cryptocurrency lebih mudah daripada merampok bank.
Pencurian cryptocurrency berisiko tinggi tampaknya sedang meningkat. Namun, penting untuk menunjukkan bahwa teknologi terdesentralisasi ini masih berkembang sejak awal. Seperti halnya sistem apa pun, ketika kerentanan ditemukan, kerentanan itu diperbaiki.
Kisah Poly Network
The Poly Network tidak diragukan lagi merupakan skandal peretas terbesar bulan ini.
Peretas menemukan kerentanan dalam kontrak digital. Inilah yang digunakan Poly Network untuk memindahkan aset kripto di antara berbagai rantai. Melalui ini, mereka menemukan jalan masuk.
Mereka kemudian melanjutkan untuk melakukan pencurian kripto monumental di tiga rantai. Ethereum, Binance, dan Jaringan Polygon semuanya terkena. Mereka menghabiskan lebih dari $600 juta dari keuangan terdesentralisasi (Defi) peron.
Terlebih lagi, penyerang mempertahankan kehadiran publik selama serangan ini. Mereka bahkan pergi sejauh mempublikasikan T&J yang mengklaim serangan itu adalah “untuk kesenangan. "
Namun, motif sebenarnya mereka merampok uang tidak jelas. Hal ini karena pembenaran mereka agak kontradiktif dan membingungkan untuk diikuti. Dalam Q&A mereka, mereka menuduh bahwa mereka mengambil token “untuk menjaganya tetap aman.”
Mereka menuduh bahwa mereka mengambil uang untuk mencegah orang dalam di Jaringan Poly menemukan kerentanan. Namun, alih-alih memperbaikinya, mereka memutuskan untuk mengambil uang itu.
Mereka tampaknya membuat tanggung jawab mereka untuk khawatir tentang kerentanan. Mereka kemudian memusatkan perhatian mereka untuk merampok Defi platform dengan mencoba menemukan cara terbaik untuk mencuci uang tanpa diketahui.
Namun, penyerang melakukan transaksi yang berisik di bawah pengawasan komunitas crypto. Ini diamati di blockchain publik. Mereka bahkan membeli NFT Cryptopunk seharga 42,000 DLL, angka yang bernilai lebih dari $ 180 juta.
Langkah peretas yang tidak biasa
Yang aneh adalah mereka akhirnya mengembalikan $550 juta dari uang yang dicuri. Peretas mengantongi separuh lainnya untuk sementara waktu, meskipun berusaha menjelaskan bahwa penyusupan itu dilakukan dengan niat baik.
Di sebuah Untaian Twitter, Poly Network berkata, “Kami memanggil penambang dari blockchain dan pertukaran crypto yang terpengaruh untuk memasukkan token daftar hitam yang berasal dari alamat di atas … Kami akan mengambil tindakan hukum, dan kami mendesak para peretas untuk mengembalikan aset.”
Tether, yang mengoperasikan stablecoin USDT, menanggapi ke panggilan untuk membuat daftar hitam alamat yang digunakan oleh penyerang.
Saat ini terjadi, sesama pengguna cryptocurrency bernama Hanashiro menyampaikan transaksi Ethereum kosong kepada penyerang dengan saran untuk membantu peretas bermanuver di sekitar lanskap yang berubah, dengan mengatakan, "jangan gunakan token USDT Anda, Anda telah [sic] masuk daftar hitam."
Penyusup itu menanggapi Hanashiro setengah jam kemudian, mengirimkan 13.37 ETH senilai sekitar $57,000 sebagai tanda terima kasih. Hanishiro kemudian mengirimkan sebagian dana tersebut ke organisasi amal.
Anggota komunitas mendukung peretas
Kabar pembayaran ini beredar dan menyebar seperti api. Ini memicu “demam emas” di jaringan Ethereum.
Calon kaki tangan mulai mengirim pesan ke akun yang digunakan oleh penyerang, menawarkan mereka saran tentang cara mencuci uang untuk memohon sumbangan amal.
Jaringan Poly menyatakan bahwa mereka akan melakukan tindakan hukum terhadap penyerang, dengan mengatakan bahwa “penegakan hukum di negara mana pun akan menganggap ini sebagai kejahatan ekonomi utama, dan Anda akan dikejar.”
Ketika situasi meningkat karena dana yang tidak dikembalikan, Jaringan Poly kemudian menawarkan penyusup $500,000 untuk menemukan kerentanan.
Peretas menolaknya. Lagi pula, mereka memegang hampir setengah miliar dolar aset curian.
Di suatu tempat di antara Poly Network yang mendesak peretas untuk mengembalikan uang itu dan akhirnya dikembalikan, Poly Network menawarkan pekerjaan kepada si penyusup sebagai Chief baru mereka. Security Penasihat, yang juga ditolak.
“Setelah berkomunikasi dengan Tuan White Hat, kami juga mencapai pemahaman yang lebih lengkap tentang bagaimana situasinya terungkap serta niat awal Tuan White Hat,” lapor Poly Network dalam sebuah pernyataan, di mana mereka merujuk ke penyusup dengan moniker ini.
Melacak peretasan
Ini bukan akhir dari cerita, namun. SlowMist, perusahaan keamanan ekosistem blockchain, berhasil menguraikan utas yang mengarah kembali ke peretas.
Mereka melakukannya dengan membuka kedok kotak surat, alamat IP, dan sidik jari perangkat mereka menggunakan pelacakan on-chain dan off-chain.
Dengan bantuan teknis dari mitra SlowMist, Hoo Tiger Symbol, bersama dengan beberapa pertukaran yang berpartisipasi, tim keamanan SlowMist dapat memastikan bahwa sumber awal kripto penyerang adalahMonero (XMR).
Mereka kemudian mentransfer dana ke BNB, ETH, dan MATIC di bursa. Setelah ini, mereka menarik dana ke beberapa alamat dan kemudian meluncurkan peretasan di tiga bursa.
Kesibukan aktivitas di blockchain membuatnya lebih mudah untuk melacaknya. Namun, mereka menyimpulkan bahwa penyerang ini secara menyeluruh meneliti, merencanakan, dan mengatur peretasan sebelum dieksekusi.
Lebih banyak peretasan, korban yang berbeda
Peristiwa berikutnya yang terungkap dalam kisah ini datang dari Fetch.ai, laboratorium kecerdasan buatan yang terletak di Cambridge, yang diminta bahwa Binance bekerja untuk mengidentifikasi dan melacak pergerakan peretas setelah peretas melanggar akun cryptocurrency mereka pada 6 Juni.
Jaringan membatasi akun penyerang. Sehingga mencegah mereka dari penarikan aset. Akibatnya, penyerang dilaporkan menjual dana tersebut kepada pihak ketiga dalam waktu satu jam.
Fetch.ai meminta Binance menahan akun penyusup di bursa. Untuk memperumit masalah lebih lanjut, Mahkamah Agung mengabulkan permintaan agar insiden tersebut dapat diselidiki dan diselesaikan sepenuhnya melalui jalur hukum.
Laporan menunjukkan bahwa Binance akan mematuhi perintah pengadilan. Namun demikian, mereka tidak akan dapat mencari perintah pemulihan sampai mereka memberikan bukti yang menunjukkan bahwa mereka telah menjadi korban dalam masalah ini.
“Kita perlu menghilangkan mitos bahwa aset kripto bersifat anonim. Kenyataannya dengan aturan dan aplikasi yang tepat, mereka dapat dilacak, dilacak, dan dipulihkan, ”kata Syedur Rahman, yang merupakan mitra Rahman Ravelli yang mewakili Fetch.ai.
Binance sudah di bawah api sebagai lembaga keuangan di seluruh dunia telah meneliti pertukaran. Inggris, bersama dengan beberapa negara lain, telah mengeluarkan peringatan tentang penggunaan pertukaran. Sementara itu, yang lain telah menerapkan larangan sama sekali.
Crypto Cair Jepang dilanggar
Poly Network bukan satu-satunya insiden keamanan di bulan Agustus. Kripto Cair. Pelaku ancaman juga menyerang bursa kripto Jepang yang berbasis di Tokyo. Mereka menyalurkan $97 juta dalam cryptocurrency yang terdiri dari BTC, ETH, TRX, danXRP. Peretas menargetkan dompet panas.
Crypto Cair ditanggapi oleh mengatakan itu sementara memindahkan semua aset offline ke dompet penyimpanan dingin. Selanjutnya, mereka menangguhkan semua layanan transaksional.
Pertukaran melaporkan bahwa mereka “saat ini melacak pergerakan aset dan bekerja dengan bursa lain untuk membekukan dan memulihkan dana.”
Menurut posting blog, perusahaan menjelaskan bahwa peretas menargetkan Komputasi Multi-Partai dompet (MPC). MPC digunakan untuk menyimpan dan mengelola cryptocurrency dari anak perusahaan Singapura, QUOINE PTE. Namun, Liquid Crypto tidak memberikan pernyataan yang menjelaskan bagaimana penyusup dapat masuk.
“Kami sedang menyelidiki dan akan memberikan pembaruan rutin. Sementara itu, penyetoran dan penarikan akan ditangguhkan, ”kata bursa dalam a menciak.
Selain itu, tweet Liquid Crypto menunjukkan alamat cryptocurrency yang digunakan oleh peretas untuk mengekstraksi aset yang dicuri.
Hadiah bug dapat menawarkan solusi untuk meretas
Dalam posting blog baru-baru ini, Jaringan Poly mengatakan akan meluncurkan program hadiah bug $ 500,000. Ini akan menyambut peneliti dan peretas untuk menemukan dan melaporkan setiap kerentanan dalam perangkat lunaknya.
Menurut karunia bug daftar on kekebalan, pembayaran bounty maksimum adalah $100,000. Dengan insentif yang menarik dari kolaborasi dengan aktor positif di bidang keamanan siber, hal ini dapat dipandang sebagai lapisan tambahan perlindungan aset.
Menjaga aktor jahat di belakang dalam perlombaan untuk menemukan lubang yang dapat dieksploitasi tidak diragukan lagi adalah kunci dalam hal mengatasi kekusutan. Siapa yang menemukan mereka lebih dulu adalah masalah lain.
Program hadiah bug adalah inisiatif crowdsourcing. Ini mengkompensasi individu yang menemukan dan melaporkan kerentanan perangkat lunak yang dapat dilakukan melalui audit kode dan pengujian penetrasi.
Hal ini memungkinkan perusahaan dan anggota industri keamanan siber untuk menemukan solusi sebelum pelaku ancaman menemukannya untuk digunakan demi keuntungan mereka sendiri.
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/