Peretasan proyek game NFT Munchables senilai $62 juta kemarin menyebabkan kegemparan di kalangan komunitas kripto, dengan seruan kepada tim inti Blast untuk secara manual memperbaiki kerusakan pada rollup terpusat.
Untungnya, tindakan kontroversial tersebut ternyata tidak diperlukan. Setelah menjadi jelas bahwa mereka memang benar tidak mampu untuk menghindari keuntungan haram mereka, pengembang nakal yang bertanggung jawab atas pencurian tersebut mengembalikan dana tersebut ke tim Blast.
Baca selengkapnya: Game Crypto dieksploitasi seharga $4.6 juta, peretas mengaku sebagai orang bertopi putih
Seperti halnya peretasan DAO pada Ethereum pada tahun 2016, insiden tersebut memaksa kita untuk mempertimbangkan implikasi dari gangguan terhadap apa yang seharusnya menjadi buku besar yang tidak dapat diubah.
Retasan
Meskipun 'peretasan' itu sendiri sederhana, namun hal itu memang terjadi berencana jauh sebelumnya.
Sebelum peluncuran, pengembang nakal menggunakan mereka admin akses untuk menetapkan sendiri saldo eter yang besar dan kuat dalam implementasi kontrak Munchables sebelumnya yang belum terverifikasi.
Kemudian, ketika simpanan mulai mengalir ke dalam kontrak yang ditingkatkan, alamat pengeksploitasi memiliki banyak ETH untuk menguras dana, menarik sekitar 17,400 ETH, senilai lebih dari $62 juta pada saat itu.
Pengembang juga memiliki akses admin ke kontrak yang menampung dana lebih dari $30 juta yang disimpan oleh proyek berbasis Blast lainnya, Kotak jus. Risiko sentralisasi adalah diidentifikasi sebagai tingkat keparahan yang rendah dalam audit proyek, dan persiapan pengembang tampaknya tidak diperhatikan.
Pelakunya
Detektif Blockchain ZachXBT pada awalnya tersangka bahwa pengembang yang bertanggung jawab adalah bagian dari Grup peretas Lazarus DPRK yang disponsori negara, dan menuding profil GitHub bernama 'Werewolves0493.'
Dia juga disarankan bahwa empat 'pengembang' proyek sebenarnya adalah individu yang sama, karena mereka dihubungkan melalui transfer on-chain dan melalui deposit ke alamat pertukaran bersama.
CEO PixelCraft Studios, yang dikenal dengan coderdan.eth di X (sebelumnya Twitter), membagikan miliknya percekcokan dengan pengembang yang sama, yang dipecat “dalam waktu satu bulan.” Dilihat dari setoran ke alamat Binance mereka, ChainArgos Percaya pengembang telah memiliki beberapa pekerjaan jangka pendek selama 18 bulan terakhir.
Apakah orang ini ada hubungannya dengan Lazarus atau tidak, berusaha untuk menyusup ke tim kripto adalah teknik yang diketahui digunakan oleh kelompok peretas.
Dilema
Sejak Departemen Keuangan AS memberikan sanksi terhadap pencampur kripto Tornado Cash, resistensi sensor yang kredibel telah menjadi ukuran penting dari desentralisasi blockchain. Harapannya adalah jika tidak ada satu entitas pun yang dituduh berinteraksi dengan alamat yang terkena sanksi, maka tidak ada seorang pun yang dapat dituntut.
Namun demikian, jika tim pengembangan yang berbasis di AS memiliki kewenangan admin yang cukup untuk memulihkan dampak peretasan atau tindakan entitas yang terkena sanksi, tim tersebut mungkin diwajibkan untuk melakukannya.
Preseden telah ditetapkan di masa lalu. Tahun lalu, Jump Crypto melakukan 'kontra-eksploitasi' untuk memulihkan 120,000 ETH yang hilang dalam peretasan Wormhole tahun 2022, senilai lebih dari $300 juta pada saat itu.
Juga pada tahun 2022, Rantai BNB yang terhubung dengan Binance dihentikan oleh validatornya, memastikan bahwa hasil peretasan jembatan senilai $600 juta tidak dapat disedot ke rantai lain yang kurang dapat disensor.
Blast sendiri bukanlah contoh utama dari etos 'ketidakpercayaan' kripto, juga bukan teladan desentralisasi.
Baca selengkapnya: Kritikus mengecam Blast sebagai skema samar terbaru di Ethereum
Ketika Blast diluncurkan, bersamaan dengan program poin yang memicu FOMO, ia menawarkan 'hasil asli' pada ETH dan stablecoin, meskipun setoran hanya masuk ke dompet multisig saat jaringan itu sendiri sedang dibangun.
Status Blast sebagian besar merupakan kotak pasir eksperimental yang tidak memprioritaskan desentralisasi seperti yang dilakukan jaringan lain Percaya yang menggunakan kekuasaan terpusat untuk kembali secara manual kegiatan yang tidak menyenangkan seharusnya didorong untuk membuat pengguna utuh.
Tapi yang lain membantah bahwa langkah tersebut dapat dilihat sebagai tanda persetujuan untuk rollup terpusat lainnya (misalnya Optimisme dan Base) yang mungkin terpaksa menyensor aktivitas jaringan mereka.
DAO
Perdebatan kembali terjadi kenangan dari peretasan DAO tahun 2016 yang, kebetulan, menyebabkan hilangnya jumlah dolar yang sama (3.6 juta ETH, yang bernilai hampir $13 miliar hari ini).
Baca selengkapnya: Dencun Ethereum menyebabkan pemadaman lapisan 2 'Ledakan'
'Hard fork', yang dirancang untuk membalikkan kerusakan, mengakibatkan perpecahan rantai yang mengarah ke mainnet Ethereum saat ini dan kelanjutan dari rantai pra-fork, yang sekarang dikenal sebagai Ethereum Classic.
Mengingat frekuensi di mana pengguna Ethereum mengalami kerugian sebesar $60 juta atau lebih sejak saat itu, upaya keras untuk memperbaiki peretasan tampaknya hampir tidak terpikirkan.
Punya tip? Kirimi kami email atau ProtonMail. Untuk berita lebih lanjut, ikuti kami di X, Instagram, Bluesky, dan berita Google, atau berlangganan kami Youtube channel.
Sumber: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/