Platform lending pool NFT XCarnival berhasil melakukan negosiasi dengan peretas yang telah membobol dana mencapai 3.087 ETH atau sekitar US$3,8 juta di platform miliknya.
XCarnival menjanjikan hadiah sebesar 1.500 ETH atau sekitar US$1,8 juta, apabila peretas bersedia mengembalikan dananya, serta memastikan tidak akan menempuh jalur hukum atas aksi yang sudah dilakukannya.
Gayung bersambut, peneliti keamanan on-chain, Tal Be’ery, menuturkan bahwa hacker menerima tawaran tersebut dan sudah mengembalikan setengah dari dana yang dicuri ke XCarnival. Dia juga membagikan tangkapan layar dalam sebuah utas Twitter yang menyebutkan beberapa tahapan dalam negosiasi terlihat di blockchain.
XCarnival dalam keterangan perusahaan juga sudah mengakui bahwa mereka sudah mendapatkan kembali aset kripto sebanyak 1.467 ETH. Kendati demikian, jumlah tersebut masih kurang dari setengah yang berhasil digondol oleh peretas.
Di samping itu, platform NFT ini menegaskan bahwa badan keamanan sudah berhasil menentukan lokasi geografis peretas secara tentatif.
Peretas secara eksplisit mengakui bakal menerima hadiah yang ditawarkan. Mereka juga bersedia mengembalikan dana hasil rampasannya. Seperti negosiasi pada umumnya, pihak peretas juga memiliki permintaan untuk memveto tuntutan hukum.
Aksi ini bukanlah kali pertama perusahaan kripto yang menjadi korban peretasan melakukan negosiasi dengan peretasnya. Poly Network pernah mengalami hal serupa. Selain memberikan sejumlah hadiah kepada peretas, Poly Network bahkan menjadikan peretasnya sebagai kepala konsultan keamanan perusahaan.
Terbaru adalah negosiasi dari Harmony Protocol, yang baru saja mengalami peretasan pada Horizon Bridge miliknya. Namun, sampai saat ini belum ada kejelasan terkait pengembalian dana oleh peretas. Harmony menjanjikan hadiah senilai US$1 juta untuk pengembalian dana sekitar US$100 juta.
- Baca juga: Babak Baru Drama Pencurian Dana di Harmony Protocol: Peretas Mulai Pindahkan Dana lewat Tornado Cash
Bagaimana XCarnival Diretas?
Perusahaan keamanan blockchain Peck Shield menjelaskan, XCarnival diretas pada tanggal 26 Juni oleh seseorang. Skemanya adalah dengan melakukan eksploitasi kerentanan kontrak untuk meminjamkan ETH dengan membuat beberapa perintah janji dan menjaminkan NFT BAYC berkali-kali.
Peretas awalnya membuat beberapa alamat kontrak untuk kemudian memanggil kontrak XNFT. Setelah itu, menjaminkan NFT dan membuat perintah untuk kemudian menarik NFT. Pelaku melakukan hal itu secara berulang.
Dalam riwayat pinjaman, tidak ada penilaian bahwa NFT telah ditarik, sehingga peretas terus melakukan pinjaman dan tidak melakukan pembayaran.
Melihat hal itu, XCarnival langsung melakukan penutupan kontrak, fungsi deposit, dan peminjaman. Mereka juga langsung melakukan analisa alamat ETH peretas untuk mempercepat proses penyelidikan kedepannya.
Tidak Ada yang Luput dari Pencurian, Termasuk NFT
Tingginya volume transaksi NFT, membuat banyak oknum nakal mengincar karya digital tersebut. Apalagi, NFT bisa ditukar menjadi sejumlah kripto, yang pada akhirnya ditukar menjadi mata uang fiat.
Pada Februari lalu, scammers berhasil mencuri NFT dari pengguna OpenSea sebanyak 254 token hanya dalam waktu 3 jam. Nilai pencurian ditaksir mencapai US$1,7 juta. Pelaku kejahatan menggunakan skema phishing untuk bisa mendapatkan aset digital secara paksa.
Aktivitas “gelap” di dunia NFT juga terjadi lewat penjualan NFT curian. Para pelaku kejahatan menggunakan tautan URL untuk menjual NFT dan mengakui bahwa aset digital tersebut adalah miliknya sendiri. Mereka menjualnya dengan harga di bawah harga pasar. Hal itu mengundang minat investor untuk akhirnya melakukan transaksi. Di situlah para pelaku kejahatan kemudian akan meneruskan aksinya dengan melakukan ancaman untuk pemerasan terhadap pembeli, karena memiliki aset digital curian.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.