Laporan AMLBot Mengungkap Keterlambatan Pembekuan USDT
Sebuah laporan terbaru dari AMLBot mengungkap adanya “keterlambatan signifikan” antara klaim bursa untuk membekukan USDT yang dipegang oleh alamat jahat dan kenyataan pelaksanaannya. Menurut laporan tersebut, penegakan pembekuan on-chain terhadap stablecoin USDT Tether telah berlangsung lambat. Konsekuensinya, firma anti-pencucian uang ini menyatakan bahwa setidaknya $78 juta telah hilang akibat tindakan pelaku jahat di jaringan Ethereum dan Tron sejak tahun 2017.
Celah Pencucian dan Keterlambatan Transaksi
“Celah pencucian” ini muncul dari pengaturan kontrak multi-tanda tangan Tether. Pertama, permintaan pembekuan harus dikirim on-chain dan memerlukan beberapa tanda tangan untuk disetujui sebelum pembekuan dapat dilaksanakan. Akibatnya, terdapat “jendela kesempatan” yang memungkinkan pelaku ilegal untuk memindahkan dana sebelum alamat mereka dibekukan. Salah satu contoh yang diberikan dalam laporan menunjukkan bahwa terdapat keterlambatan 44 menit antara permintaan pembekuan dan konfirmasi di jaringan Tron.
AMLBot melaporkan bahwa $49,6 juta telah ditarik oleh pelaku jahat di jaringan Tron sejak 2017 sebagai akibat dari kerentanan ini. Dompet yang terlibat dapat melakukan hingga tiga transaksi selama jendela keterlambatan, dengan 4,88% dari dompet yang masuk daftar hitam memanfaatkan keterlambatan di jaringan tersebut. Di sisi lain, di jaringan Ethereum, firma ini menemukan bahwa $28,5 juta USDT juga ditarik dalam kurun waktu yang sama. Dengan demikian, total kerugian mencapai $78,1 juta di kedua jaringan.
Konfirmasi dari Firma Keamanan
Firma keamanan PeckShield telah meninjau laporan tersebut dan mengonfirmasi adanya celah yang dimaksud. “Ini tidak serta merta mencerminkan masalah dengan kontrak itu sendiri, melainkan merupakan masalah operasional yang menciptakan jendela waktu antara saat transaksi pendaftaran hitam diajukan dan saat dieksekusi,” ungkap seorang juru bicara PeckShield kepada Decrypt. “Mengacu pada sifat sensitif terhadap keamanan dari permasalahan ini, perbaikan tunggu diperlukan.”
Tether dan Langkah Pemblacklist-an
Tether merupakan penerbit stablecoin terbesar di dunia kripto, USDT, yang bertujuan untuk mengaitkan nilainya dengan dolar AS. Perusahaan ini melakukan pemblacklist-an terhadap alamat yang terhubung dengan aktivitas ilegal tertentu, seperti dompet yang terkait dengan peretasan Bybit senilai $1,4 miliar yang terjadi awal tahun ini. Pemblacklist-an berarti alamat tersebut tidak dapat lagi memindahkan aset yang diterbitkan oleh Tether, sehingga secara efektif membuat token tersebut tidak bernilai. Namun, AMLBot meyakini bahwa pelaku jahat menyadari adanya keterlambatan ini dan sedang memanfaatkan celah tersebut.
“Alat bisa diprogram untuk memantau blockchain guna mengawasi interaksi kontrak tertentu, termasuk panggilan submitTransaction yang berkaitan dengan permintaan pembekuan,” ujar Slava Demchuk, CEO AMLBot. “Bot tersebut dapat memberikan informasi kepada pemilik dompet begitu pembekuan dimulai tetapi sebelum diterapkan. Dengan keterlambatan yang ditimbulkan oleh proses multi-tanda tangan Tether, ini menciptakan jendela yang sempit namun krusial bagi pelaku ilegal untuk segera memindahkan dana mereka.”
Peringatan dari PeckShield
“Sementara kami belum mengamati langsung adanya bot itu, perilaku di blockchain sangat mengindikasikan bahwa otomatisasi semacam itu tengah berlangsung,” tambahnya. PeckShield mengingatkan bahwa keterlambatan ini merupakan bagian dari cara kerja akun multi-tanda tangan. Secara sederhana, proses ini membutuhkan waktu agar beberapa orang dapat menandatangani sebuah transaksi, meskipun langkah ini diperlukan dalam beberapa kasus untuk menjaga keamanan. Firma tersebut menyarankan agar Tether menyusun permintaan pembekuan dan tanda tangan dalam satu transaksi untuk menghilangkan jendela tersebut.
Tether belum memberikan komentar resmi kepada Decrypt pada waktu publikasi; artikel ini akan diperbarui setelah mendapat tanggapan.
