Menurut posting blog yang diterbitkan oleh pengembang dompet crypto ZenGo, perusahaan tersebut mengatakan telah menemukan kerentanan keamanan dalam solusi simulasi transaksi yang digunakan oleh aplikasi terdesentralisasi populer, atau dApps. Dijuluki “serangan pil merah”, kerentanan ini memungkinkan dApps berbahaya untuk mencuri aset pengguna berdasarkan persetujuan transaksi buram yang ditawarkan dan disetujui oleh pengguna. Kerentanan ini mendapatkan namanya dari adegan ikonik “pil merah” dari serial film The Matrix.
“Jika malware dapat mendeteksi bahwa ia benar-benar dieksekusi dalam lingkungan simulasi atau hidup dalam matriks, ia dapat berperilaku jinak, sehingga menipu solusi anti-malware, dan mengungkapkan sifat jahatnya yang sebenarnya hanya jika benar-benar dieksekusi dalam lingkungan nyata.”
ZenGo mengklaim penelitiannya mengungkapkan bahwa banyak vendor terkemuka, termasuk Coinbase Wallet, pada satu waktu rentan terhadap serangan semacam itu. “Semua vendor sangat menerima laporan kami,” kata ZenGo, “dan sebagian besar dari mereka dengan cepat memperbaiki implementasi yang salah.”
Kerentanan ini dimungkinkan karena pengawasan pemrograman di “Variabel Khusus” di antara kontrak cerdas yang menyimpan informasi umum di fungsionalitas blockchain, seperti stempel waktu dari blok saat ini. Namun selama simulasi, ZenGo mengatakan tidak ada nilai yang benar untuk Variabel Khusus dan klaim pengembang “mengambil jalan pintas” dan menetapkannya ke nilai arbitrer.
“Misalnya, instruksi”COINBASE” berisi alamat penambang blok saat ini. Karena selama simulasi tidak ada blok nyata dan karenanya tidak ada penambang, beberapa implementasi simulasi hanya mengaturnya ke alamat nol (semua alamat nol). koin asli dengan imbalan yang lain dapat dikompromikan melalui metode ini:
“Ketika pengguna benar-benar mengirim transaksi on-chain, [Dompet] COINBASE sebenarnya diisi dengan alamat bukan nol dari penambang saat ini dan kontrak hanya mengambil yang dikirim coins.”
ZenGo mengatakan perbaikan untuk kerentanan itu langsung: “alih-alih mengisi variabel rentan ini dengan nilai arbitrer, simulasi perlu mengisinya dengan nilai yang berarti.” Perusahaan tersebut menyajikan tangkapan layar bug yang telah disunting, yang tampaknya diberikan oleh Coinbase, untuk menyelesaikan masalah tersebut. Ethereum Foundation juga telah menghadiahkan ZenGo hibah $50.000 untuk penelitiannya tentang simulasi transaksi. NbspQuick shoutout kepada peneliti keamanan @0xVazi dari @ZenGo yang baru-baru ini membuat beberapa saran yang bermanfaat dan proaktif!
— Pocket Universe (@PocketUniverseZ) 27 Januari 2023
Artikel ini disadur dari cointelegraph.com sebagai kliping berita saja. Trading dan Investasi Crypto adalah hal yang beresiko, silakan baca himbauan BAPPEBTI, OJK, Kementrian Keuangan dan Bank Indonesia. Kami bukan pakar keuangan, pakar blockchain, ataupun pakar trading. Kerugian dan kealpaan karena penyalahgunaan artikel ini, adalah tanggungjawab anda sendiri.
