Peretasan US Harmony $100 Juta Membenarkan Kekhawatiran Pendiri Ethereum Tentang Cross Chain Bridges

Beberapa Bulan Yang Lalu Pendiri ETH Menjelaskan Bahaya Cross Chain Bridges, Hari Ini Harmoni AS Diretas Sebesar $100 juta.

Jembatan lintas rantai Harmony, Horizon, adalah jembatan terbaru yang diserang oleh peretas. Tampaknya jembatan lintas rantai crypto telah menjadi target besar bagi peretas akhir-akhir ini.

Setelah Jembatan Ronin di Axie Infinity, kini Jembatan Horizon telah menjadi korban serangan yang tepat. Namun, dana yang dicuri melalui Jembatan Horizon jauh lebih sedikit daripada yang diambil melalui Ronin. Peretasan di Jembatan Ronin menyebabkan kerugian sekitar $620 juta ETH dan USDC sementara serangan terhadap Jembatan Horizon telah menyebabkan hilangnya kripto senilai sekitar $100 juta.

Setelah serangan itu, Harmony yang berbasis di California, Amerika Serikat turun ke Twitter untuk mengumumkan berita sedih, menambahkan bahwa perusahaan sekarang bekerja sama dengan pihak berwenang dan ahli forensik untuk melacak para penyerang.

1/ Tim Harmony telah mengidentifikasi pencurian yang terjadi pagi ini di jembatan Horizon sebesar kira-kira. $100 juta. Kami telah mulai bekerja dengan otoritas nasional dan spesialis forensik untuk mengidentifikasi pelakunya dan mengambil kembali dana yang dicuri.

Lebih?

- Harmoni? (@harmonyprotocol) Juni 23, 2022

BTC Tidak Terpengaruh

Sementara beberapa blockchain yang dilayani oleh Horizon Bridge terpengaruh, rantai Bitcoin tidak mengalami kemunduran. Harmony mengakui ini di utas Twitter mereka. Rantai yang terpengaruh termasuk Binance Chain dan Ethereum.

3/ Perhatikan bahwa ini tidak memengaruhi jembatan BTC yang tidak dapat dipercaya; dana dan asetnya yang disimpan di brankas terdesentralisasi aman saat ini.

- Harmoni? (@harmonyprotocol) Juni 23, 2022

Investigasi atas serangan tersebut telah mengungkapkan bahwa sejumlah token dicuri selama serangan itu. Ini termasuk AAVE, USDC, weTH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX, dan DAI. Rupanya, penyerang pindah untuk menukar token yang dicuri ke ETH di Uniswap DEX sebelum mengirim ETH kembali ke dompet mereka. Dari kelihatannya, ini adalah serangan yang direncanakan.

Kepedulian Komunitas Dibenarkan

Setelah berita tentang serangan itu tersebar, komunitas bangkit dengan senjata, mengingatkan Harmony dan industri pada umumnya tentang kekhawatiran yang ditayangkan tentang sistem kontrol Multisig yang digunakan untuk mengamankan jembatan dan cryptos.

Otoritas nasional dan spesialis forensik harus menyelidiki *Anda* untuk mengetahui jenis praktik keamanan yang rusak yang memungkinkan "pencurian" ini terjadi.

- Chris Blec (@ChrisBlec) Juni 24, 2022

Harmony menggunakan fungsionalitas multisig yang hanya membutuhkan dua dari empat entitas tepercaya untuk mengeksekusi transfer token. Para penyerang berhasil mendapatkan dua validator dan mendapatkan akses ke simpanan.

Insiden peretasan yang menargetkan jembatan lintas rantai telah merajalela akhir-akhir ini, mendorong panggilan untuk pemeriksaan keamanan lebih lanjut dari pihak operator jembatan. Sejak awal tahun, serangan semacam itu telah menyebabkan kerugian gabungan sekitar $1 miliar dari platform crypto.

Ancaman Jembatan Lintas Rantai

Lebih dari 6 bulan yang lalu Vitalik merangkum risiko jembatan lintas rantai di a posting reddit:

“Batas keamanan mendasar jembatan sebenarnya adalah alasan utama mengapa sementara saya optimis tentang ekosistem blockchain multi-rantai (benar-benar ada beberapa komunitas terpisah dengan nilai yang berbeda dan lebih baik bagi mereka untuk hidup secara terpisah daripada semua memperebutkan pengaruh pada hal yang sama), saya pesimis tentang aplikasi lintas rantai.

Untuk memahami mengapa jembatan memiliki keterbatasan ini, kita perlu melihat bagaimana berbagai kombinasi blockchain dan jembatan bertahan dari serangan 51%. Banyak orang memiliki mentalitas bahwa “jika sebuah blockchain diserang 51%, semuanya rusak, jadi kita harus mengerahkan semua kekuatan kita untuk mencegah serangan 51% agar tidak terjadi sekali pun”. Saya sangat tidak setuju dengan gaya berpikir ini; kenyataannya, blockchain mempertahankan banyak dari jaminan mereka bahkan setelah serangan 51%, dan sangat penting untuk mempertahankan jaminan ini.

Misalnya, Anda memiliki 100 ETH di Ethereum, dan Ethereum diserang 51%, jadi beberapa transaksi disensor dan/atau dikembalikan. Apa pun yang terjadi, Anda masih memiliki 100 ETH. Bahkan penyerang 51% tidak dapat mengusulkan blok yang menghilangkan ETH Anda, karena blok seperti itu akan melanggar aturan protokol sehingga akan ditolak oleh jaringan. Bahkan jika 99% dari hashpower atau stake ingin mengambil ETH Anda, semua orang yang menjalankan node hanya akan mengikuti rantai dengan 1% sisanya, karena hanya bloknya yang mengikuti aturan protokol. Secara umum, jika Anda memiliki aplikasi di Ethereum, maka serangan 51% dapat menyensor atau mengembalikannya untuk beberapa waktu, tetapi yang keluar pada akhirnya adalah keadaan yang konsisten. Jika Anda memiliki 100 ETH, tetapi menjualnya seharga 320000 DAI di Uniswap, bahkan jika blockchain diserang dengan cara gila yang sewenang-wenang, pada akhirnya Anda masih memiliki hasil yang masuk akal – apakah Anda menyimpan 100 ETH atau Anda mendapatkan 320000 HAI. Hasil di mana Anda tidak mendapatkan keduanya (atau, dalam hal ini, keduanya) melanggar aturan protokol sehingga tidak akan diterima.

Sekarang, bayangkan apa yang terjadi jika Anda memindahkan 100 ETH ke jembatan di Solana untuk mendapatkan 100 Solana-WETH, dan kemudian Ethereum diserang 51%. Penyerang menyimpan banyak ETH mereka sendiri ke Solana-WETH dan kemudian mengembalikan transaksi itu di sisi Ethereum segera setelah pihak Solana mengonfirmasinya. Kontrak Solana-WETH sekarang tidak lagi didukung sepenuhnya, dan mungkin 100 Solana-WETH Anda sekarang hanya bernilai 60 ETH. Bahkan jika ada jembatan sempurna berbasis ZK-SNARK yang sepenuhnya memvalidasi konsensus, itu masih rentan terhadap pencurian melalui serangan 51% seperti ini.

Karena alasan ini, selalu lebih aman untuk menyimpan aset asli Ethereum di Ethereum atau aset asli Solana di Solana daripada memegang aset asli Ethereum di Solana atau aset asli Solana di Ethereum. " 

- Iklan -