Sebuah kejadian langka yang menyenangkan terjadi minggu ini di dunia kripto, di mana seorang pengguna berhasil memulihkan dana mereka setelah kehilangan 100 ETH karena bug di wallet.
Pemulihan ini berkat tindakan dari tim Safe Wallet dan pandangan jauh ke depan dari pengembang white-hat di Protofire.
100 ETH Hilang Karena Bug Wallet—Kemudian Berhasil Diselamatkan dalam Aksi Penyelamatan Menakjubkan
Insiden ini terjadi ketika pengguna Ethereum lama, khalo_0x di X (Twitter), mencoba menjembatani 100 ETH dari Ethereum Mainnet ke Base blockchain. Mereka menggunakan antarmuka resmi Safe Wallet Bridge.
Pada nilai saat ini, dengan ETH diperdagangkan seharga US$2,635 pada waktu publikasi, transfer ini bernilai lebih dari US$263.500.
Tanpa sepengetahuannya, bug pengalaman pengguna yang kritis dalam alat jembatan memungkinkan transfer ke smart contract wallet yang tampaknya miliknya.
Namun, wallet ini dikendalikan oleh entitas yang berbeda.
Akar masalahnya terletak pada penggunaan Khalo terhadap versi Safe yang sudah usang (v1.1.1), yang diterapkan pada tahun 2020. Versi lama ini mendahului pertimbangan lintas chain dan tidak memiliki perlindungan yang sekarang menjadi standar dalam versi yang lebih baru.
Akibatnya, seorang penyerang, atau setidaknya awalnya tampak demikian, sebelumnya telah menerapkan salinan alamat wallet Khalo di Base, tetapi dengan konfigurasi pemilik yang berbeda. Dengan ini, mereka secara efektif membajak dana segera setelah dijembatani.
“Saya kehilangan tabungan hidup saya dalam satu klik menggunakan Safe tadi malam. Itu setelah 8 tahun memegang ETH dan menghindari penipuan. Bug UX dalam fitur Bridge resmi menyiratkan alamat tujuan adalah Safe saya di Base. Ternyata bukan,” keluh Khalo dalam sebuah postingan.
Cuitan tersebut menarik perhatian komunitas kripto, termasuk tim Safe. Builder Tschubotz.eth menyelidiki dan menemukan bahwa alamat Base yang mengendalikan ETH yang dijembatani ternyata tidak berbahaya.
Versi Wallet Usang Membuka Pintu untuk Eksploitasi Lintas Chain
Alih-alih, itu telah diterapkan oleh Protofire, sebuah firma pengembangan white-hat yang secara proaktif menerapkan ratusan wallet Safe v1.1.1 di Base untuk mencegah penyerang black-hat melakukannya.
“Tidak seperti EOAs (Externally Owned Accounts), akun pintar seperti Safe diatur oleh kode smart contract yang diterapkan. Secara teknis mungkin untuk menerapkan akun pintar dengan konfigurasi penerapan yang sama (penandatangan yang sama) pada chain yang berbeda di alamat yang sama (menggunakan penerapan counterfactual)…Tapi kasus ini berbeda… Versi akun pintar dari waktu itu (v1.1.1.) belum ditulis dengan mempertimbangkan multichain, jadi mungkin bagi siapa saja untuk menerapkan akun pintar di chain yang berbeda dengan konfigurasi yang sama sekali berbeda di alamat yang sama,” jelas co-founder Safe Lukas Schor menjelaskan.
Setelah memverifikasi identitas Khalo, Protofire segera mengembalikan seluruh 100 ETH. Transfer penuh yang berhasil mengikuti transaksi uji coba, menyelesaikan krisis hanya beberapa jam setelah dimulai.
“Ini adalah salah satu cerita kripto paling keren yang pernah saya lihat dalam beberapa waktu,” ujar Haseeb Qureshi, Managing Partner di Dragonfly mengatakan.
Insiden ini menyoroti kebutuhan mendesak akan perlindungan pengguna yang lebih baik seiring dengan kemajuan wallet kripto dalam ekosistem lintas chain.
Versi terbaru Safe v1.2.0 sekarang mencakup perlindungan terhadap jenis eksploitasi ini dengan mengubah cara perhitungan CREATE2 salt selama penerapan kontrak.
Alat jembatan juga telah ditingkatkan untuk memberikan peringatan jika ada kode smart contract yang bertentangan di alamat tujuan.
Namun, insiden ini menjadi pengingat yang menyedihkan bahwa pengguna tetap rentan terhadap bug yang halus dan tidak jelas.
“…kita masih berada pada titik di mana pengguna diharapkan untuk melakukan transaksi uji coba sebelum memindahkan dana yang lebih besar.,” tambah Schor.
Meski mengalami trauma awal, cerita Khalo berakhir dengan dana yang dipulihkan.
