Pencurian Aset Digital oleh Hacker
Seorang hacker telah mulai mencuci aset digital yang merupakan bagian dari pencurian sebesar $6,7 juta dari penyedia likuiditas TrustedVolumes, menurut laporan dari perusahaan keamanan siber PeckShield. Data terbaru menunjukkan bahwa hacker tersebut telah mulai memindahkan ratusan ribu dolar dalam bentuk Ethereum (ETH).
“Pelaku eksploitasi TrustedVolumes telah mencuci $278.000 dari dana yang dicuri sejauh ini. Mereka menyetor 10,2 ETH (senilai $23.600) ke TornadoCash dan mencuci 110 ETH (senilai $250.000) melalui THORChain ke BTC. Mereka juga mencoba menyetor 0,5 ETH ke Railgun, tetapi kemudian membatalkannya dan mengembalikannya. TrustedVolumes dieksploitasi sebesar sekitar $6,7 juta pada 7 Mei,” ungkap PeckShield.
Negosiasi dengan Hacker
TrustedVolumes menyatakan bahwa mereka bersedia untuk bernegosiasi mengenai penyelesaian dengan hacker tersebut. Perusahaan juga mencantumkan tiga alamat dompet, di mana dua di antaranya memegang sekitar $3 juta dan satu lagi $700.000 dari aset crypto yang dicuri.
“Kami baru-baru ini dieksploitasi… Kami terbuka untuk komunikasi konstruktif mengenai bug bounty dan penyelesaian yang saling diterima,” tambah mereka.
Analisis Keamanan
Perusahaan keamanan blockchain QuillAudits menjelaskan bahwa hacker tersebut mampu menguras jutaan dolar dalam satu transaksi dengan mengeksploitasi cacat desain dalam sistem penyelesaian pesanan kustom platform tersebut.
“TrustedVolumes beroperasi sebagai pembuat pasar 1inch dan penyelesai, menyediakan likuiditas on-chain melalui proxy Request-for-Quote (RFQ) kustom. Dalam model RFQ, seorang pembuat menandatangani pesanan sebelumnya, mengutip harga tertentu untuk pasangan token tertentu. Seorang pengambil menyajikan kutipan yang ditandatangani tersebut kepada kontrak penyelesaian, yang memverifikasi tanda tangan dan mengeksekusi pertukaran secara atomik. Sistem ini bergantung pada tiga jaminan yang harus bekerja secara bersamaan: pembuat harus memiliki otorisasi siapa yang dapat menandatangani pesanan atas namanya, setiap pesanan yang ditandatangani harus diisi hanya sekali (perlindungan replay), dan sumber token untuk pengisian harus merupakan inventaris pembuat yang terautentikasi sendiri, bukan alamat pihak ketiga yang sembarangan. Dalam implementasi TrustedVolumes, ketiga jaminan tersebut gagal secara bersamaan, dan penyerang mengeksploitasinya dalam satu transaksi yang terkomposisi.”
