Kerentanan token palsu Flow terungkap! Turun 40% dalam 5 jam dengan kerugian sebesar 3,9 juta dolar AS

Flow Foundation mengungkapkan kerentanan tingkat protokol pada 27 Desember yang menyebabkan kerugian $3,9 juta. Penyerang memanfaatkan cacat Cadence untuk menduplikasi aset rather than stealing, validator menangguhkan jaringan dalam 6 jam. FLOW anjlok 40% dalam 5 jam, jatuh dari $40 pada 2021 menjadi $0,075. Flow diciptakan oleh Dapper Labs dan pernah menerima investasi $725 juta dari a16z.

Analisis Kerentanan Teknis Duplikasi Token Tingkat Protokol

Flow Foundation merilis laporan analisis teknis pada hari Selasa yang merinci peristiwa kerentanan tingkat protokol yang terjadi pada 27 Desember. Penyerang memanfaatkan kerentanan di lingkungan runtime Cadence Flow, yang memungkinkan penduplikasian aset tertentu daripada pencetakan, sehingga melewati kontrol pasokan, dan tanpa perlu mengakses atau mengonsumsi saldo pengguna yang ada.

Jenis serangan ini sangat jarang dalam sejarah keamanan blockchain. Serangan hacker tradisional biasanya mencuri kunci pribadi atau memanfaatkan kerentanan kontrak pintar untuk mentransfer aset pengguna, tetapi kerentanan Flow memungkinkan penyerang untuk “menduplikasi” token dari udara, seperti mesin fotokopi meniru uang kertas. Karena serangan menduplikasi aset daripada mencuri dana dari akun, tidak ada saldo pengguna yang ada yang terpengaruh. Karakteristik ini membuat kerentanan sulit dideteksi pada awalnya, karena pengguna tidak akan menemukan saldo dompet mereka berkurang.

Dalam enam jam setelah transaksi jahat pertama, validator mengoordinasikan penangguhan operasi jaringan, sementara mitra bursa membekukan sebagian besar aset palsu sebelum dijual. Flow menyatakan bahwa penghentian sementara ini menempatkan jaringan dalam mode baca saja untuk memutus jalur keluar dan mencegah duplikasi data lebih lanjut, sambil menyelidiki masalah.

Dua hari kemudian, operasi dilanjutkan sesuai rencana “pemulihan terisolasi” yang mempertahankan catatan transaksi sah dan mengotorisasi pemulihan dan penghancuran permanen aset palsu melalui proses yang disetujui manajemen. Meskipun penyerang menghasilkan sejumlah besar token palsu di rantai, Flow menyatakan bahwa sebagian besar token palsu dikendalikan atau dibekukan sebelum likuidasi. Sebagai tindakan pencegahan, sejumlah kecil akun yang berinteraksi dengan token palsu dibatasi akses sementara, sementara lebih dari 99% akun mempertahankan akses penuh selama dan setelah periode pemulihan.

Timeline Peristiwa Kerentanan dan Proses Penanganan Flow

27 Desember Serangan Pertama: Peretas memanfaatkan kerentanan Cadence untuk mulai menduplikasi token

Jaringan Ditangguhkan dalam 6 Jam: Validator mengoordinasikan memasuki mode baca saja, memutus jalur serangan

Bursa Membekukan Secara Darurat: Mitra melaksanakan pembekuan sebelum sebagian besar koin palsu dijual

Pemulihan Terisolasi Dua Hari Kemudian: Mempertahankan transaksi sah, menghancurkan aset palsu, 99% akun tidak terpengaruh

Penurunan Panjang dari $40 ke $0,075

(Sumber: CoinGecko)

Dapper Labs, kreator proyek token non-fungible CryptoKitties, mengumumkan pengembangan Flow pada September 2019, sebuah blockchain Layer 1 baru yang dirancang untuk mengatasi tantangan skalabilitas yang dihadapi oleh aplikasi konsumen seperti game dan koleksi digital. Kesuksesan awal NBA Top Shot (platform NFT untuk memperdagangkan highlight video NBA berlisensi resmi) membantu blockchain Flow mendapatkan perhatian arus utama pada 2020 dan 2021.

Dengan latar belakang ini, menurut data CoinGecko, token FLOW jaringan melambung di atas $40 pada 2021. Momentum pengembangan Flow berlanjut ke 2022, proyek mengumpulkan sekitar $725 juta dari investor termasuk Andreessen Horowitz (a16z) dan Union Square Ventures untuk mendukung pengembangan ekosistem. Dukungan institusi tingkat atas ini pernah membuat Flow dilihat sebagai raja infrastruktur NFT.

Dengan pasar NFT secara bertahap mendingin dalam beberapa tahun berikutnya, token FLOW juga kehilangan momentum pengembangan, dan kapitalisasi pasar kemudian jatuh keluar dari 300 mata uang kripto teratas. Setelah peristiwa serangan hacker pada 27 Desember, kecepatan penurunan harga FLOW meningkat, jatuh sekitar 40% dalam lima jam. Harga token sempat jatuh ke titik terendah $0,075 pada 2 Januari, kemudian mulai rebound. Menurut data Cointelegraph, pada saat penerbitan, harga perdagangannya mendekati $0,10, naik sekitar 16% dalam 24 jam terakhir.

Dari $40 ke $0,075, penurunannya lebih dari 99,8%, skala kehancuran ini bahkan ekstrem untuk pasar kripto. Penurunan Flow mencerminkan kesulitan seluruh sektor infrastruktur NFT, ketika buzz spekulasi mereda, proyek yang kekurangan aplikasi nyata dengan cepat ditinggalkan pasar.

Perbaikan Kerentanan dan Langkah Penguatan Keamanan Masa Depan

Foundation menyatakan bahwa mereka telah memperbaiki kerentanan mendasar, menambahkan pemeriksaan runtime yang lebih ketat, dan memperluas pengujian regresi untuk mencegah serangan serupa. Selain itu, mereka juga berkolaborasi dengan mitra forensik dan lembaga penegak hukum, dan berencana untuk memperkuat pemantauan dan program bug bounty sebagai bagian dari langkah penguatan keamanan yang lebih luas.

Respons keamanan komprehensif ini diperlukan, tetapi juga mengungkapkan kecacatan dalam desain awal Flow. Cadence sebagai bahasa kontrak pintar inti Flow, lingkungan runtimenya memiliki kerentanan yang memungkinkan duplikasi aset, menunjukkan adanya blind spot dalam audit kode dan pengujian keamanan. Untuk blockchain yang telah beroperasi selama bertahun-tahun dan menangani transaksi senilai miliaran dolar, munculnya kerentanan tingkat protokol semacam ini sangat jarang dan serius.

Penguatan program bug bounty adalah sinyal positif, tetapi kepercayaan investor telah rusak. Flow perlu membangun kembali kepercayaan melalui audit keamanan berkelanjutan, laporan insiden transparan, dan catatan bebas celah. Di pasar Layer-1 yang sangat kompetitif saat ini, satu insiden keamanan besar dapat menjadi fatal.