Peretas telah mencuri $1.4 miliar tahun ini menggunakan jembatan kripto

Investor Crypto telah terpukul keras tahun ini oleh peretasan dan penipuan. Salah satu alasannya adalah bahwa penjahat dunia maya telah menemukan jalan yang sangat berguna untuk menjangkau mereka: jembatan.

Jembatan Blockchain, yang menghubungkan jaringan dengan lemah untuk memungkinkan pertukaran token yang cepat, mendapatkan popularitas sebagai cara bagi pengguna kripto untuk bertransaksi. Tetapi dalam menggunakannya, penggemar crypto melewati pertukaran terpusat dan menggunakan sistem yang sebagian besar tidak terlindungi.

Total sekitar $ 1.4 miliar telah hilang karena pelanggaran pada jembatan lintas rantai ini sejak awal tahun, menurut angka dari perusahaan analitik blockchain Chainalysis. Acara tunggal terbesar adalah rekor tangkapan $615 juta diambil dari Ronin, sebuah jembatan yang mendukung permainan token nonfungible populer Axie Infinity, yang memungkinkan pengguna mendapatkan uang saat mereka bermain.

Ada juga $320 juta dicuri dari Wormhole, sebuah jembatan kripto yang didukung oleh perusahaan perdagangan frekuensi tinggi Wall Street, Jump Trading. Pada bulan Juni, jembatan Harmony's Horizon mengalami serangan senilai $100 juta. Dan minggu lalu, hampir $200 juta disita oleh peretas dalam pelanggaran yang menargetkan Nomad.

“Jembatan Blockchain telah menjadi buah yang menggantung rendah bagi penjahat dunia maya, dengan aset kripto bernilai miliaran dolar terkunci di dalamnya,” kata Tom Robinson, salah satu pendiri dan kepala ilmuwan di perusahaan analitik blockchain Elliptic, dalam sebuah wawancara. “Jembatan ini telah dilanggar oleh peretas dengan berbagai cara, menunjukkan bahwa tingkat keamanan mereka tidak sejalan dengan nilai aset yang mereka pegang.”

Eksploitasi jembatan terjadi pada tingkat yang mencolok, mengingat itu adalah fenomena baru. Menurut data Chainalysis, jumlah yang dicuri dalam pencurian jembatan menyumbang 69% dari dana yang dicuri dalam peretasan terkait crypto sejauh ini pada tahun 2022.

Bridge adalah perangkat lunak yang memungkinkan seseorang mengirim token dari satu jaringan blockchain dan menerimanya di rantai yang terpisah. Blockchain adalah sistem buku besar terdistribusi yang mendukung berbagai cryptocurrency.

Saat menukar token dari satu rantai ke rantai lain — seperti mengirim beberapa eter dari ethereum ke jaringan solana — investor menyetorkan token ke dalam kontrak cerdas, sepotong kode di blockchain yang memungkinkan perjanjian untuk dieksekusi secara otomatis tanpa campur tangan manusia.

Kripto itu kemudian “dicetak” di blockchain baru dalam bentuk apa yang disebut token yang dibungkus, yang mewakili klaim pada koin eter asli. Token kemudian dapat diperdagangkan di jaringan baru. Itu bisa berguna bagi investor yang menggunakan ethereum, yang terkenal karena lonjakan biaya yang tiba-tiba dan waktu tunggu yang lebih lama saat jaringan sibuk.

“Mereka biasanya menyimpan uang dalam jumlah besar,” kata Adrian Hetman, pimpinan teknologi di perusahaan keamanan crypto Immunefi. “Jumlah uang itu, dan berapa banyak lalu lintas yang melewati jembatan, adalah titik serangan yang sangat menarik.”

Kerentanan jembatan dapat ditelusuri sebagian ke rekayasa yang ceroboh.

Peretasan di jembatan Harmony's Horizon, misalnya, dimungkinkan karena terbatasnya jumlah validator yang diperlukan untuk menyetujui transaksi. Peretas hanya perlu mengkompromikan dua dari total lima akun untuk mendapatkan kata sandi yang diperlukan untuk menarik dana.

Situasi serupa terjadi dengan Ronin. Peretas hanya perlu meyakinkan lima dari sembilan validator di jaringan untuk menyerahkan kunci pribadi mereka untuk mendapatkan akses ke kripto yang terkunci di dalam sistem.

Dalam kasus Nomad, jembatan itu lebih mudah dimanipulasi oleh peretas. Penyerang dapat memasukkan nilai apa pun ke dalam sistem dan kemudian menarik dana, bahkan jika tidak ada cukup aset yang disimpan di jembatan. Mereka tidak memerlukan keterampilan pemrograman apa pun, dan eksploitasi mereka menyebabkan peniru menumpuk, yang mengarah ke pencurian crypto terbesar kedelapan sepanjang masa, menurut Elliptic.

Pengembara adalah menawarkan peretas hadiah hingga 10% untuk mengambil dana pengguna dan mengatakan akan menjauhkan diri dari tindakan hukum terhadap peretas yang mengembalikan 90% aset yang mereka ambil.

Nomad mengatakan kepada CNBC bahwa "berkomitmen untuk menjaga komunitasnya diperbarui saat mempelajari lebih lanjut" dan "menghargai semua orang yang bertindak cepat untuk melindungi dana."

Jembatan adalah alat penting dalam industri keuangan terdesentralisasi (DeFi), yang merupakan alternatif kripto untuk sistem perbankan.

Dengan DeFi, alih-alih pemain terpusat yang melakukan panggilan, pertukaran uang dikelola oleh bagian kode yang dapat diprogram yang disebut kontrak pintar. Kontrak ini ditulis di blockchain publik, seperti ethereum or solana, dan dijalankan ketika kondisi tertentu terpenuhi, meniadakan kebutuhan akan perantara pusat. 

“Kita tidak bisa begitu saja memindahkan aset-aset itu,” kata Hetman. “Itulah mengapa kami membutuhkan jembatan blockchain.”

Karena ruang DeFi terus berkembang, pengembang perlu membuat blockchain dapat dioperasikan untuk memastikan bahwa aset dan data dapat mengalir dengan lancar antar jaringan.

“Tanpa mereka, aset terkunci pada rantai asli,” kata Auston Bunsen, salah satu pendiri QuikNode, yang menyediakan infrastruktur blockchain untuk pengembang dan perusahaan.

Tapi mereka berisiko.

"Mereka secara efektif tidak diatur," kata David Carlisle, kepala urusan regulasi di Elliptic. Mereka “sangat rentan terhadap peretasan, atau digunakan dalam kejahatan seperti pencucian uang.”

Penjahat telah mentransfer setidaknya $ 540 juta keuntungan haram melalui jembatan yang disebut RenBridge sejak tahun 2020, menurut penelitian baru yang Elliptic berikan kepada CNBC.

“Satu pertanyaan utama adalah apakah jembatan akan tunduk pada regulasi, karena mereka bertindak seperti pertukaran crypto, yang sudah diatur,” kata Carlisle.

Minggu ini, Kantor Pengawasan Aset Asing Departemen Keuangan AS, atau OFAC, mengumumkan sanksi terhadap Tornado Cash, mixer cryptocurrency populer, melarang orang Amerika menggunakan layanan ini. Mixer adalah alat yang memadukan token pengguna dengan kumpulan dana lain untuk menyembunyikan identitas individu dan entitas yang terlibat.

Carlisle mengatakan menjadi jelas bahwa "regulator AS siap untuk mengejar layanan DeFi yang memfasilitasi aktivitas terlarang."

MENONTON: Adrian Hetman dari Immunefi menjelaskan bagaimana peretas mencuri $200 juta