Hacker Curi Rp8,9 Triliun dari Game NFT

Mata uang kripto atau cryptocurrency berjumlah sekitar USD625 juta (Rp8.9 triliun) telah dicuri dari Ronin, blockchain yang mendasari game kripto populer Axie Infinity. Operator Ronin dan Axie Infinity, Sky Mavis, mengungkapkan pembobolan ini pada hari Selasa, 29 Maret lalu.

Mengutip The Verge, Sky Mavis telah membekukan transaksi di jembatan Ronin, memungkinkan penyetoran dan penarikan dana dari blockchain perusahaannya. Sky mavis juga menyebut tengah bekerja sama dengan badan penegak hukum untuk memulihkan sebanyak 173.600 Ethereum dan 25,5 juta USDC dari pelaku pembobolan.

Pelaku pembobolan tersebut melakukan penarikan dana dari jaringan tersebut pada tanggal 23 Maret 2022 lalu. Sebagai informasi, USDC merupakan mata uang kripto yang dipatok ke dollar Amerika Serikat. Sementara itu saat ini, 173.600 Ethereum bernilai sekitar USD600 juta (Rp8,5 triliun).

Serangan ini terfokus pada jembatan ke blockchain Ronin milik Sky Mavis, perantara antara Axie Infinity dan blockchain cryptocurrency lain seperti Ethereum. Pengguna dapat menyetorkan Ethereum atau USDC ke Ronin, kemudian membeli benda Non-Fungible Token (NFT) atau mata uang dalam game.

Pengguna juga dapat menjual aset dalam game yang mereka miliki dan melakukan penarikan dana. Menurut Sky Mavis, penyerang menggunakan kunci keamanan privat hasil peretasan untuk melakukan kompromi pada node jaringan yang melakukan validasi untuk transfer ke dan dari blockchain Ronin.

Hal tersebut memungkinkan peretas secara diam-diam melakukan penarikan Ethereum dan USDC dalam jumlah besar. Transfer ini ditemukan pada hari Selasa lalu, hampir satu pekan kemudian, saat pengguna lain hendak melakukan penarikan 5.000 Ethereum melalui jembatan tersebut.

Sky Mavis mengatakan bahwa token NFT axie yang harus dibeli pemain untuk mengakses Axie Infinity belum dikompromikan, begitu pula dengan SLP dan AXS dalam game kripto yang digunakan dalam memerangi dan membiakkan axolotl kartun serupa pokemon.

Namun membekukan penarikan dana dan deposit secara efektif menutup akses untuk banyak pemain baru, dan peretas meninggalkan nasib dari dana milik pengguna lain pada blockchain Ronin tersebut.

Sky Mavis menegaskan pihaknya tengah bekerja sama dengan badan penegak hukum, ahli forensik kripto, dan investor untuk memastikan tidak ada dana milik pengguna yang tercuri, dan menyebut langkah yang dilakukannya ini sebagai prioritas utama.

Serangan Ronin, jelas Sky Mavis, sebagian besar dimungkinkan karena jalan pintas atau shortcut yang diambil perusahaan untuk meringankan beban pengguna sangat besar di jaringannya pada bulan November tahun 2021 lalu, beberapa bulan setelah popularitas game meningkat signifikan di Filipina dan negara lain lokasi pemain mengandalkannya sebagai pekerjaan penuh.

Sistem ini dihentikan pada bulan Desember lalu, namun izin yang memungkinkan transaksi tidak pernah dibatalkan. Selain mengompromikan empat node milik Sky Mavis, penyerang mengeksploitasinya untuk mendapatkan akses ke node yang dikelola oleh DAO, Axie milik komunitas.

Setelah mengompromikan lima dari sembilan node validator, penyerang dapat secara efektif mengesampingkan berbagai keamanan transaksi dan melakukan penarikan dana yang diinginkannya.

Sky Mavis menyebut akan meningkatkan jumlah node yang dibutuhkan untuk transaksi sebanyak delapan node, dan akan kembali membuka jembatan Ronin di kemudian hari setelah meyakini tidak ada lagi dana yang dapat dikuras.