Protokol DeFi Onyx Protocol menjadi korban terbaru dalam insiden peretasan di industri kripto. Hal tersebut terendus oleh perusahaan keamanan blockchain PeckShield. Lewat utas X (Twitter), PeckShield mengatakan bahwa protokol tersebut mengalami peretasan dengan kerugian mencapai US$2,1 juta atau sekitar Rp33,30 miliar.
Menurut PeckShield, serangan tersebut terjadi pada 1 November kemarin. Pelaku kejahatan melakukan eksploitasi terhadap pasar tanpa likuiditas yang sudah diterapkan pada 27 Oktober lalu. Mereka memanfaatkan bug yang ada di balik fork CompoundV2 dan menggunakannya untuk meminjam dana dari pasar lain yang memiliki likuiditas.
“Pasar oPEPE yang mengalami eksploitasi sudah diluncurkan 5 hari yang lalu. Pasar tersebut tidak memiliki likuiditas apa pun, pasar ini disalahgunakan sebagai media donasi untuk meminjam dana ke pasar lain yang memiliki likuiditas,” jelas PeckShield.
Setelah itu, oknum jahat tersebut menebus dana yang sudah disumbangkan dengan memanfaatkan bug pembulatan yang diketahui.
Tidak berhenti di situ, peretas kembali melakukan serangan terhadap Onyx Protocol beberapa saat sesudah serangan pertama. Ketika itu, PeckShield menyebut sebanyak US$61,8 ribu dana berhasil disedot dari platform.
PeckShield menambahkan bahwa modus yang terjadi di Onyx Protocol sebenarnya mirip dengan insiden serangan terhadap Hundred Finance. Peretas memanfaatkan bug yang sama untuk menggondol dana senilai US$7 juta.
Menyikapi peristiwa tersebut, pimpinan Onyx Protocol, Alex Onyx, ikut turun ke X dan mengakui bahwa pihaknya mengalami peretasan.
“Kami menyadari situasi ini dan berusaha menutup kerentanan dan mengatasi konsekuensinya dengan mitra kami,” jelas Alex Onyx.
Dia juga menyebut bahwa eksploitasi yang terjadi tidak berpengaruh terhadap XCN (native token Onyx), kontrak, staking pool XCN, dan trading pools Uniswap.
Sejauh ini, nilai kerugian yang diketahui mencapai 1.163,53 ETH atau setara dengan US$2,1 juta.
Peretas Onyx Protocol Gunakan Tornado Cash
Demi mengaburkan penyelidikan, aktor jahat tersebut kembali menggunakan crypto mixer Tornado Cash. Dalam catatan PeckShield, peretas awalnya “mencuci” 1.130 ETH dari alamat penampungan yang dicurigai. Kemudian, satu jam berselang, sebanyak 100 ETH kembali dicuci lewat platform tersebut.
Tornado Cash dan para pendirinya sebenarnya sudah mendapatkan sanksi oleh Kantor Pengawas Aset Asing (OFAC) sejak tahun lalu. Platform ini disebut membantu pencucian uang Lazarus Group, grup kriminal asal Korea Utara, senilai lebih dari US$455 juta.
Sejak berdiri pada tahun 2019, Tornado Cash setidaknya telah digunakan untuk mencuci mata uang virtual senilai lebih dari US$7 miliar.
Peretasan di Industri Kripto Tengah Menurun
Meskipun kabar peretasan masih terus terjadi, data Beosin menyebutkan bahwa tren tersebut menunjukkan penurunan. Pada bulan Oktober saja, nilai kerugian akibat peretasan, penipuan dengan skema phishing, dan rug pull turun 85,6% menjadi US$51,61 juta dari 23 insiden.
Sebagai perbandingan, pada September, dari aktivitas peretasan saja sudah mengakibatkan kerugian senilai US$28,33 juta. Angka tersebut belum termasuk dengan kerugian akibat rug pull yang mencapai US$12,02 juta dan phishing senilai US$11,26 juta.
“Insiden terbesar pada bulan lalu terjadi pada pencurian dari wallet Fantom Foundation senilai US$7 juta, peretasan Coins.ph yang mengakibatkan kerugian US$6 juta, dan peretasan yang terjadi di LastPass yang menimbulkan kerugian sekitar US$4,4 juta,” ungkap Beosin.
Insiden yang menggunakan private key menyumbang 67% dari total serangan siber. Maka dari itu, Beosin mengimbau agar setiap platform mengadopsi langkah komprehensif untuk mengelola private key dan meningkatkan kesadaran keamanan karyawan.
Bagaimana pendapat Anda tentang topik ini? Yuk, sampaikan pendapat Anda di grup Telegram kami. Jangan lupa follow akun Instagram dan Twitter BeInCrypto Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.