Dalam dua hari, lebih dari 100 juta dolar AS hilang, UXLINK dan SFUND mengalami serangan Hacker secara berturut-turut, bagaimana cara mencegah serangan tersembunyi dalam hutan gelap enkripsi?

Penulis: Frank, PANews

Pasar cryptocurrency pada 22 September, dinginnya penurunan pasar di siang hari belum mereda, malamnya muncul embun beku baru.

Pada malam 22 September, proyek SocialFi yang sangat diperhatikan, UXLINK, mengalami serangan hacker. Penyerang mencuri aset senilai 4 juta dolar AS dari brankas proyek melalui celah kontrak, dan mencetak hingga 100 triliun token secara sembarangan. Mereka kemudian menjual secara besar-besaran di blockchain untuk mendapatkan aset dari kolam dana, akhirnya meraih keuntungan lebih dari 11 juta dolar AS. Begitu berita ini muncul, kepercayaan pasar langsung runtuh, harga token UXLINK anjlok lebih dari 80% dalam beberapa jam, dan nilai pasar berkurang dari titik tertinggi sekitar 140 juta dolar AS menjadi 16,8 juta dolar AS. Namun, badai hacker belum mereda, hanya 24 jam kemudian, pada malam 23 September, token asli dari platform Launchpad yang sudah lama ada, Seedify.fund, SFUND, juga tidak luput dari nasib serupa. Brankas jembatan lintas rantai mereka 'dikosongkan' oleh hacker, dengan aset senilai lebih dari 1,7 juta dolar AS dicuri habis, menyebabkan harga SFUND merosot tajam dan mencapai level terendah sepanjang sejarah, dengan nilai pasar kembali berkurang lebih dari 10 juta dolar AS.

Dua hari, dua proyek yang tampak tidak terkait, lebih dari $100 juta nilai pasar hilang akibat serangan hacker yang tepat sasaran. Ini membuat setiap pelaku industri dan investor kembali bertanya pada diri sendiri: di luar siklus pasar yang bergejolak, apakah celah keamanan yang berasal dari kedalaman kode, yang sebenarnya adalah pedang Damocles paling tajam yang menggantung di atas dunia kripto?

"White Day Thunder" dari UXLINK, sebuah permainan mematikan tentang hak akses

Kejatuhan UXLINK adalah sebuah "ledakan internal" yang tipikal, yang disebabkan oleh celah keamanan pada kontrak pintar. Seluruh kejadian tersebut seperti sebuah film kriminal teknologi yang disusun dengan cermat, cepat dan mematikan.

Penyebab utama dari kejadian ini berasal dari "kunci universal" yang diabaikan. Analisis menunjukkan bahwa langkah pertama penyerang adalah melaksanakan panggilan fungsi deleGateCall. Transaksi ini menghapus peran administrator yang sah dari kontrak UXLINK dan menambahkan pemilik multisig baru yang dikendalikan oleh hacker.

Menurut laporan Cyvers Alerts, setelah mendapatkan kontrol manajemen penuh, hacker segera mulai memindahkan aset dari dompet treasury UXLINK. Aset yang dicuri pada tahap awal termasuk sekitar 4 juta USDT, 500 ribu USDC, 3.7 WBTC, dan 25 ETH. Langkah ini mengunci keuntungan yang langsung dan terjamin bagi penyerang.

Selanjutnya, penyerang memasuki fase paling merusak: mencetak token tanpa izin. Data on-chain menunjukkan bahwa penyerang menciptakan hingga 100 triliun UXLINK token baru. Aktivitas ini juga benar-benar menghancurkan kepercayaan pasar, meskipun UXLINK cepat merespons dengan berkomunikasi dengan beberapa CEX utama untuk menghentikan perdagangan. Namun, harga di on-chain runtuh seiring dengan lonjakan besar dalam penerbitan, dengan harga terendah bahkan mencapai enam desimal di belakang koma, hampir mendekati nol. Adegan seperti pencetakan tak terbatas LUNA terjadi lagi.

Hingga 23 September, menurut harga di blockchain, kapitalisasi pasar UXLINK sekitar 80 dolar.

Dengan memegang token UXLINK yang hampir tidak terbatas pasokannya, para penyerang mulai melakukan penjualan terencana di berbagai bursa terdesentralisasi. Untuk membingungkan, mereka menggunakan setidaknya enam dompet berbeda untuk beroperasi, menukarkan token UXLINK yang baru dicetak menjadi aset bernilai tinggi. Perusahaan analisis blockchain Lookonchain melaporkan bahwa para penyerang telah mendapatkan setidaknya 6.732 ETH melalui penjualan ini, yang pada saat itu bernilai sekitar 28,1 juta dolar AS. Namun, saat ini ada dua pandangan berbeda mengenai aset keuntungan ini di media sosial, dengan sejumlah perusahaan keamanan (termasuk jumlah kerugian yang dikutip resmi UXLINK sebesar 11,3 juta dolar AS).

Namun, terlepas dari metode perhitungan mana yang digunakan, kerugian yang dialami komunitas kali ini jauh lebih serius. Sebelum kejatuhan, nilai pasar UXLINK sekitar 150 juta USD, sedangkan setelah mencapai harga terendah, nilai pasar yang ditampilkan di bursa terpusat jatuh menjadi 16 juta USD, sehingga nilai pasar yang menguap dari komunitas sekitar 100 juta USD.

Dan dalam proses ini, banyak pengguna salah mengira bahwa setelah peretas mencuri aset dari brankas, mereka akan berhenti, sehingga berniat untuk membeli di titik terendah dan mengambil risiko. Di media sosial, banyak pengguna berbagi bahwa mereka awalnya ingin mencoba mendapatkan keuntungan dari pembelian spot atau membuka kontrak long, tetapi akhirnya mengalami kerugian lebih dari 99%. Salah satu alamat yang paling banyak, menginvestasikan lebih dari 900.000 dolar AS, akhirnya mengalami kerugian 99,8%.

"Momen terkelam" dari proyek bintang, ke mana UXLINK pergi?

Sehari sebelum serangan terjadi, UXLINK secara resmi merilis sebuah tweet, "Akan ada hal besar yang terjadi", namun tak disangka itu menjadi kenyataan.

Setelah peristiwa terjadi, pihak resmi UXLINK dengan cepat memberikan respons, menyatakan bahwa mereka telah menghubungi beberapa CEX untuk menghentikan perdagangan UXLINK dan akan memulai rencana pertukaran token. Namun, karena tidak dapat memulihkan hak akses kontrak, mereka tidak dapat menghentikan peretas dari melakukan peningkatan token dalam skala triliunan. Dengan pukulan berat ini, kepercayaan komunitas terhadap UXLINK dan pembangunan ekosistem akan menghadapi tantangan besar.

Sebelum diserang, UXLINK pernah menjadi salah satu proyek bintang yang paling diperhatikan dalam siklus ini, terutama di pasar Korea, pengaruhnya tidak bisa diremehkan. Sebagai platform SocialFi, UXLINK berhasil mengumpulkan basis pengguna yang besar dalam waktu singkat berkat model "sosial teman" dan pemecahan kelompoknya yang unik. Menurut data publik, proyek ini telah menyelesaikan lebih dari 9 juta dolar pendanaan, dengan sejumlah lembaga terkenal sebagai investor.

UXLINK menganggap Korea sebagai pasar inti, menginvestasikan banyak sumber daya untuk operasi lokalisasi dan promosi pasar, serta mengumpulkan banyak pengguna nyata. Menurut data resmi, UXLINK telah mencapai tonggak lebih dari 10 juta pengguna terdaftar pada tahun 2024.

Kemudian, UXLINK berhasil diluncurkan di bursa terkemuka Korea Selatan, Upbit, dan beberapa kali menduduki peringkat perdagangan harian utama di bursa Korea Selatan, Upbit dan Bithumb. Selain itu, kontrak berjangka juga berhasil diluncurkan di Binance, yang semakin memperluas pengaruh globalnya.

Setelah serangan terjadi, tim UXLINK menyatakan akan merumuskan rencana pertukaran token baru, memberikan kompensasi kepada pengguna yang terkena dampak melalui cara-cara seperti snapshot. Namun, jalan ke depan masih penuh dengan duri.

Tantangan terbesar datang dari rekonstruksi kepercayaan dan sikap bursa. Terutama untuk bursa yang patuh seperti Upbit, stabilitas dan keamanan model ekonomi token adalah pertimbangan utama dalam penambahan token dan pemeliharaan pasangan perdagangan. Secara historis, ada banyak contoh yang dicabut karena kejadian serupa. Misalnya, Pundi AI (PUNDIX) yang pernah ada dicabut dukungannya oleh bursa patuh Korea seperti Upbit karena "pengungkapan informasi yang tidak tepat waktu" setelah mengalami serangan hacker yang menyebabkan peningkatan tidak normal dalam penerbitan token.

Situasi yang dihadapi UXLINK saat ini sangat mirip dengan ini. Jika skema token barunya tidak dapat meyakinkan Upbit dan bursa lainnya, membuktikan bahwa ia dapat sepenuhnya memperbaiki celah dan memulihkan model ekonomi yang sehat, maka "penghapusan" akan menjadi kejadian yang sangat mungkin. Begitu kehilangan likuiditas pasar inti, UXLINK akan sangat sulit untuk bangkit kembali.

kebetulan, lonceng peringatan SFUND dan refleksi industri

Ketika pasar masih mencerna dampak dari peristiwa UXLINK, pada malam tanggal 23 September, pencurian token tata kelola SFUND dari platform inkubasi dan peluncuran proyek Web3 Seedify.fund sekali lagi membangunkan seluruh industri.

Prinsip serangan SFUND mirip dengan UXLINK, menurut bocoran dari Specter, hacker SFUND melakukan penerbitan token setelah mendapatkan akses di Baseshang, dengan jumlah maksimum mencapai 3 zettatoken (10 pangkat 24).

Kemudian, 10 miliar token dicetak di rantai BSC dan dijual seharga 1,2 juta dolar ETH. Menurut informasi terkait sebelumnya, peretas ini memiliki hubungan yang jelas dengan kelompok peretas Korea Utara sebelumnya, Serenity Shield.

Meskipun jumlah yang dicuri kali ini tidak banyak, tetapi dampaknya terhadap kepercayaan pasar tetap besar. Dalam 15 menit, harga SFUND anjlok 73%, dengan nilai pasar menurun dari 27 juta dolar AS menjadi serendah 11 juta dolar AS. Alur ceritanya sangat mirip dengan UXLINK, hanya saja tidak diketahui apakah ini kebetulan atau kedua serangan berasal dari kelompok hacker yang sama.

Meskipun laporan keamanan lengkap dari kedua kejadian tersebut belum dipublikasikan hingga saat ini, kita masih dapat memperoleh beberapa pemikiran dari situasi ini. Penyebab di balik kedua kejadian tersebut berasal dari masalah izin kontrak dan saklar pencetakan token.

Pendiri SFUND menekankan dalam penyampaian informasi peringatan bahwa kontraknya telah diaudit dan telah berjalan selama tiga tahun. Ini menunjukkan bahwa audit bukanlah jaminan mutlak, audit rutin mungkin tidak dapat menemukan semua celah logika yang mendalam, sehingga audit keamanan yang berkelanjutan dan pemeriksaan kode sangat penting.

Namun bagi pengguna, kami tidak memiliki logika untuk memeriksa kontrak dan logika operasionalnya. Cara untuk menghindari jebakan, memang menjadi suatu ilmu yang mendalam. Dan cara yang lebih sederhana mungkin adalah, meskipun menyimpan koin dalam bentuk spot, seharusnya menetapkan beberapa order stop loss yang diperlukan, agar tidak mengalami kerugian total akibat peristiwa black swan.

Kedua, dalam dua peristiwa ini, banyak pengguna yang berharap dapat membeli di harga rendah sebelumnya, namun mereka mengalami kerugian besar. Tindakan semacam ini sama saja dengan menjilat darah di ujung pisau, dan tidak dapat diterima.

Selain itu, proposal "pertukaran koin snapshot" yang diajukan oleh pihak proyek biasanya menetapkan waktu tertentu sebelum terjadinya serangan, mencatat semua posisi pengguna, dan menerbitkan koin baru untuk ditukarkan dengan pengguna secara proporsional. Esensi dari proposal ini adalah memperbaiki kesalahan setelah kejadian, dan tidak menunjukkan bahwa semua kerugian dapat diimbangi.

Dari UXLINK ke SFUND, dalam dua hari, kami menyaksikan bagaimana celah kode dapat dengan cepat menghancurkan nilai dan ekosistem suatu proyek seperti domino yang jatuh. Ini sekali lagi membuktikan bahwa dalam hutan gelap kripto ini, keamanan selalu menjadi "1", sementara merek, komunitas, dan kapitalisasi pasar lainnya hanyalah "0" di belakangnya. Tanpa "1" keamanan, segala sesuatu di belakangnya menjadi tidak berarti. Bagi pihak proyek, harus dengan rasa hormat tertinggi memperlakukan setiap baris kode. Bagi investor, harus menempatkan potensi risiko keamanan sebagai prioritas utama dalam keputusan sambil mengejar imbal hasil yang tinggi. Jika tidak, kemungkinan yang berikutnya akan menjadi nol mungkin akan terjadi di masa depan yang tidak jauh.