Pernyataan Pendiri deBridge
Pendiri deBridge, Alex Smirnov, meminta para validator untuk menghentikan transaksi hingga rencana remediasi diterapkan bagi pengguna yang terdampak. Secara terpisah, Trust Wallet mengonfirmasi bahwa kode jahat yang tertanam dalam ekstensi Chrome-nya menyebabkan sekitar $7 juta aset dicuri di berbagai blockchain, mendorong penyedia dompet tersebut untuk meluncurkan proses kompensasi formal. Pendiri Binance, Changpeng Zhao, menyatakan bahwa semua kerugian yang dialami pengguna akan ditanggung.
Seruan untuk Hentikan Transaksi
Alex Smirnov, pendiri deBridge, secara publik mendesak para validator di blockchain Flow untuk menghentikan pemrosesan transaksi sampai rencana remediasi yang jelas ditetapkan bagi pengguna yang terpengaruh oleh proposal rollback kontroversial jaringan tersebut. Seruan ini muncul setelah eksploitasi sebesar $3,9 juta yang terjadi pada 27 Desember, ketika seorang penyerang memanfaatkan kerentanan di lapisan eksekusi Flow dan mengalirkan dana dari jaringan melalui beberapa jembatan lintas rantai.
Rencana rollback diperkenalkan sebagai respons darurat terhadap eksploitasi tersebut, tetapi memicu kekhawatiran luas di seluruh ekosistem Flow. Smirnov memperingatkan bahwa rollback menciptakan kebingungan seputar saldo pengguna, terutama bagi mereka yang menjembatani aset keluar dari Flow selama jendela yang terdampak dan kini menghadapi kemungkinan saldo yang berlipat ganda atau tidak cocok.
Reaksi Terhadap Kontroversi
Sebagai salah satu penyedia jembatan utama Flow, deBridge secara langsung terpapar pada ketidakkonsistenan ini, yang menyebabkan seruan Smirnov untuk transparansi dan koordinasi yang lebih baik dari Flow Foundation. Meskipun ada seruan tersebut, validator Flow belum dapat memberikan respons. Data blockchain menunjukkan bahwa Flow tetap terhenti di ketinggian blok 137.385.824 sejak akhir malam Sabtu, meskipun Flow Foundation menyatakan bahwa jaringan diharapkan dapat dimulai kembali dalam waktu empat hingga enam jam.
Sejauh ini, reaksi pasar sangat parah. Token FLOW turun sekitar 42% sejak eksploitasi, menurut data dari CoinCodex. Kontroversi ini semakin rumit oleh pesan yang campur aduk dari pemangku kepentingan ekosistem.
Rencana Pemulihan Dapper Labs
Pada bulan Oktober, Dapper Labs—pencipta Flow—mengatakan bahwa rencana pemulihan yang direvisi akan menghilangkan kebutuhan untuk rollback sepenuhnya, menjaga aktivitas pengguna yang sah sambil memulihkan operasi jaringan. Namun, para kritikus berpendapat bahwa kerusakan pada kepercayaan sudah terjadi. Smirnov menggambarkan keputusan rollback sebagai terburu-buru dan mengatakan bahwa mitra ekosistem tidak diberitahu dengan baik, serta memperingatkan bahwa rollback dapat menyebabkan masalah beruntun bagi jembatan, kustodian, bursa, dan pengguna yang bertindak dengan itikad baik.
Kritik Terhadap Pendekatan Flow
Gabriel Shapiro, penasihat umum di Delphi Labs, mengkritik pendekatan Flow dengan menyarankan bahwa hal itu secara efektif menciptakan aset yang tidak didukung dan mengalihkan beban mitigasi kepada jembatan dan penerbit. Sementara Dapper Labs bersikeras bahwa tidak ada saldo pengguna—termasuk kas mereka sendiri—yang terpengaruh, skeptisisme tetap ada.
Flow pernah menarik banyak dukungan, bahkan mengamankan $725 juta dalam pendanaan dari perusahaan-perusahaan termasuk Andreessen Horowitz dan Union Square Ventures. Namun saat ini, jaringan hanya memiliki total nilai terkunci sebesar $85,5 juta, dan FLOW telah meluncur keluar dari 300 cryptocurrency teratas berdasarkan kapitalisasi pasar.
Proses Kompensasi Trust Wallet
Perusahaan terkait crypto lainnya juga berusaha untuk pulih setelah eksploitasi baru-baru ini. Trust Wallet mengumumkan peluncuran proses kompensasi formal untuk pengguna yang terdampak oleh insiden keamanan baru-baru ini yang melibatkan ekstensi browser Chrome-nya, setelah ditemukan kode jahat yang tertanam dalam versi 2.68 perangkat lunak tersebut. Masalah ini diidentifikasi dua hari sebelum pengumuman, setelah laporan muncul bahwa dana pengguna sedang dikuras segera setelah pembaruan dirilis pada 24 Desember.
Pengguna yang terdampak kini dapat mengajukan klaim melalui formulir dukungan resmi yang dihosting di situs web Trust Wallet. Proses klaim mengharuskan pengguna untuk memberikan detail termasuk alamat email, negara tempat tinggal, alamat dompet yang terkompromi, alamat penerima penyerang, dan hash transaksi yang relevan. Trust Wallet berkomitmen untuk memberikan kompensasi kepada semua pengguna yang terdampak oleh insiden tersebut.
Jumlah Kerugian dan Tindakan Selanjutnya
Menurut Trust Wallet, sekitar $7 juta dalam aset digital dicuri di berbagai blockchain, termasuk Bitcoin, Ethereum, dan Solana. Perusahaan keamanan blockchain PeckShield melaporkan bahwa lebih dari $4 juta dari dana yang dicuri telah dialirkan melalui bursa terpusat seperti ChangeNOW, FixedFloat, dan KuCoin. Changpeng Zhao, pendiri Binance, yang mengakuisisi Trust Wallet pada tahun 2018, mengonfirmasi secara publik bahwa semua kerugian akan ditanggung.
Zhao menyatakan di X bahwa dana pengguna tetap “SAFU”. Insiden ini pertama kali dilaporkan secara publik pada Hari Natal oleh penyelidik on-chain ZachXBT, yang memperingatkan bahwa banyak pengguna Trust Wallet melaporkan saldo yang terkuras segera setelah pembaruan ekstensi Chrome. Trust Wallet mengeluarkan perbaikan dalam versi 2.69 pada 25 Desember.
CEO Eowyn Chen kemudian menjelaskan bahwa pengguna yang mengakses ekstensi sebelum 26 Desember pukul 11 pagi UTC berpotensi terpengaruh. Investigasi perusahaan menentukan bahwa kunci API Chrome Web Store yang bocor digunakan untuk menerbitkan ekstensi yang terkompromi, melewati kontrol rilis internal. Perusahaan keamanan SlowMist menemukan bahwa kode jahat tersebut mengumpulkan frasa benih dompet menggunakan pustaka analitik sumber terbuka yang dimodifikasi. Trust Wallet mengonfirmasi bahwa pengguna aplikasi seluler dan pengguna ekstensi browser lainnya tidak terpengaruh.
