Maling…! Rp387 Miliar Pun Berpindah Tangan

0
59
Naas bagi sejumlah pengguna platform keuangan aset kripto ini. Akibat kelemahan sistemnya, maling dunia maya sukses mencuri token digital imBTC senilai US$25 juta atau setara dengan Rp387 miliar.
Platform keuangan itu bernama Lendf.me yang dikelola oleh perusahaan dForce asal Tiongkok. Mindao Yang, Pendiri DForce mengklaim kejadian itu sebagai sebuah “aksi peretasan” yang terjadi pada 19 April 2020 lalu, beberapa hari setelah Multicoin Capital, perusahaan asal Texas menanamkan dana investasi di dForce.

Satu hari sebelumnya, 18 April 2020 peretasan bermodus serupa terjadi di platform sekelas, yakni Uniswap. Dalam kasus Uniswap, token imBTC yang melayang antara US$300,000-1,1 juta.

Walaupun Uniswap tidak dikelola oleh dForce, namun diketahui bahwa Uniswap juga memanfaatkan protokol yang sama dengan di platform Lendf.me.

“Kami akhirnya mengetahui, bahwa peretas memanfaatkan kerentanan dalam standar ERC777 dari token imBTC dengan melakukan serangan ‘reentrancy‘. Mekanisme ‘panggilan balik’ itu memungkinkan peretas untuk menyetor dan menarik imBTC berulang kali sebelum saldo diperbarui. Kajian teknis soal itu disajikan oleh PeckShield,” kata Mindao akun dForce di Medium hari ini, Senin (20 April 2020).

Mindao mengakui serangan itu terjadi karena kelalaian dirinya sebagai pemimpin perusahaan.

“Saya seharusnya mengantisipasi dan mengambil tindakan untuk mencegahnya. Serangan ini tidak hanya merugikan pengguna kami, mitra kami dan rekan pendiri saya, tetapi juga saya pribadi. Aset saya juga dicuri dalam serangan itu,” katanya dengan nada menyesal.

Karenanya pihak perusahaan sudah mengambil langkah hukum dengan menghubungi pihak berwenang dan siap diselidiki. dForce juga sudah menghubungi sejumlah bursa aset kripto agar memblokir address aset kripto milik peretas, seandainya dedemit maya itu hendak menjual hasil curiannya.

PeckShield menyebutkan, bahwa serangan itu terjadi terkait dengan token imBTC. Nilai token yang dibuat di blockchain Ethereum itu 1 banding 1 terhadap nilai Bitcoin (BTC). Token itulah yang dijadikan jaminan (collateral) oleh pengguna di platform Lendf.me. imBTC sendiri dibuat oleh Perusahaan Tokenlon, yang juga sedang menyelidiki kasus ini.

“Secara teknis, logika utama di balik dua insiden itu adalah ketidakcocokan antara ERC777 pada token imBTC dan smart contract yang dibuat oleh perusahaan itu di platform keuangannya. Ini yang mungkin disalahgunakan oleh peretas untuk benar-benar membajak transaksi normal dan melakukan operasi ilegal tambahan,” jelas PeckShield hari ini melalui Medium. [red]