Blockchain perjudian Ronin Network mengalami insiden keamanan kemarin ketika peretas topi putih mengeksploitasi kerentanan yang tidak terdokumentasi pada jembatan Ronin untuk menarik 4.000 ETH dan 2 juta USDC, dengan total $12 juta.
Angka ini sesuai dengan jumlah maksimum ETH dan USDC yang dapat ditarik dari jembatan melalui satu transaksi saja. Jadi, tindakan keamanan penting ini mencegah pencurian angka yang berpotensi sangat besar.
Peretas topi putih memberi tahu Ronin Network tentang eksploitasi di jembatan saat mereka melakukan demonstrasi serangan. Setelah verifikasi, jembatan dihentikan sementara selama 40 menit.
Meskipun post-mortem terperinci akan dirilis minggu depan, Ronin dapat mengatakan bahwa penyebab eksploitasi tersebut adalah pembaruan jembatan terkini yang diterapkan melalui proses tata kelola, yang memperkenalkan kelemahan keamanan.
Kelemahan tersebut menyebabkan jembatan salah menafsirkan ambang batas suara yang dibutuhkan operator jembatan untuk mengesahkan penarikan dana, sehingga memungkinkan pelaku tak berwenang melakukan tindakan merugikan.
.png)
Tim Jaringan Ronin sedang berupaya menyelesaikan akar permasalahannya dan mengatakan perbaikan akan melalui audit menyeluruh sebelum disetujui dan diterapkan oleh operator jembatan guna memastikan insiden serupa tidak terulang lagi.
Jembatan akan tetap dihentikan sementara dan menjalani pemeriksaan intensif sebelum dibuka kembali. Pada saat yang sama, Jaringan Ronin mengumumkan bahwa struktur saat ini akan ditinggalkan untuk solusi baru yang dikembangkan dengan validator Ronin.
Sementara itu, kelompok topi putih telah mengembalikan dana yang dicuri secara penuh dan akan menerima hadiah sebesar $500.000 untuk “audit paksa” yang mereka lakukan.
Ronin sebelumnya telah mengumumkan bahwa meskipun para peretas tidak menanggapi secara positif dan menyimpan jumlah yang dicuri, semua dana pengguna akan dijamin, dan kerugian apa pun akan diganti sepenuhnya.
Tidak jelas apakah “para peneliti” mengeksploitasi bug tersebut sebelum atau setelah memberi tahu Ronin tentang kelemahan tersebut dan apakah mereka meminta hadiah bug bounty untuk mengembalikan uang tersebut. BleepingComputer menghubungi Ronin, tetapi email kami tetap tidak dijawab.
Kelalaian jembatan Ronin sebelumnya
Jembatan jaringan Ronin Axie Infinity sebelumnya diretas pada bulan Maret 2022 sebagai bagian dari pencurian kripto terbesar dalam sejarah modern, yang mengakibatkan hilangnya mata uang kripto senilai $625.000.000.
Kemudian terungkap bahwa peretasan tersebut dilakukan oleh peretas Korea Utara yang terkenal ‘Kelompok Lazarus,’ yang menggunakan tipikal mereka wawancara kerja palsu skema rekayasa sosial untuk mendapatkan akses awal istimewa ke sistem target.
Dalam kasus tersebut, tidak ada jumlah yang dikembalikan oleh para peretas, namun aparat penegak hukum berhasil memulihkannya $30 juta pada bulan September 2022 dan lainnya $5,8 juta pada bulan Februari 2023.
