Bridge Wormhole Aptos Ada Bug, Rp80 Miliar Nyaris Hilang! 

CertiK, sebuah platform keamanan blockchain menemukan bug keamanan di bridge Wormhole di jaringan Aptos, yang berpotensi mengakibatkan kerugian sebesar US$5 juta setara dengan Rp80 miliar.

Bug itu terungkap setelah ditemukan kesalahan dalam pengubah bahasa pemrograman MOVE, yang awalnya dikembangkan oleh Facebook untuk proyek Libra.

Bug tersebut memungkinkan akses tidak sah ke fungsi ‘publish_event’ di dalam bridge, sehingga memungkinkan aktor jahat melakukan transaksi palsu dan berpotensi menguras dana dari sistem.

Pengubah ‘public(friend)’, yang dimaksudkan untuk membatasi akses ke akun eksternal tertentu, digabungkan dengan pengubah ‘entry’, yang memungkinkan akun eksternal mana pun memanggil suatu fungsi. Kombinasi ini secara tidak sengaja membuka pintu untuk eksploitasi, karena siapa pun dapat memanggil fungsi ‘publish_event’, bahkan tanpa izin.

Baca juga: Wormhole akan Airdrop 617 Juta Token W Bernilai US$1,5 Miliar!

Bug Wormhole Aptos Sudah Diperbaiki

Setelah ditemukan, CertiK segera memberi tahu tim Wormhole pada tanggal 5 Desember 2023. Tim dengan cepat mengembangkan dan menerapkan patch untuk mengatasi celah keamanan. Pendekatan proaktif ini memastikan bahwa jembatan tersebut terlindungi dari potensi eksploitasi hanya dalam waktu tiga jam.

Tindakan perbaikan tersebut tidak hanya mencakup penghapusan kata kunci ‘entry’ dari fungsi ‘publish_event’ namun juga penerapan batasan penarikan yang lebih ketat.

Nilai batas tarif tata kelola pada Aptos pun dikurangi dari US$5 juta menjadi US$1 juta, yang secara efektif mengurangi potensi kerugian jika terjadi eksploitasi di masa depan.

Analisis dari Wormhole menegaskan bahwa tidak ada dana pengguna yang ditransfer secara tidak sah, sehingga meyakinkan pengguna akan keamanan saldo mereka.

Baca juga: Rain, Exchange Kripto Timur Tengah Diduga Kena Hack

Bukan Pertama Kali Keamanan Wormhole Bermasalah

Masalah keamanan yang menimpa bridge Wormhole ini bukan yang pertama kali terjadi. Pada 2020 proyek tersebut merugi lebih dari US$321 juta ketika bug di bagian bridge Solana memungkinkan penyerang mencetak token yang tidak didukung. Namun, tim kemudian menambal bug tersebut dan memberikan kompensasi kepada pengguna. 

Usai kejadian tersebut Wormhole telah menunjukkan komitmen untuk meningkatkan praktik keamanannya. Pencapaian baru-baru ini dalam memperoleh kembali total nilai terkunci sebesar US$1 miliar menandakan kemajuan dalam memperkuat platform terhadap potensi ancaman.

Baca juga: Wormhole Bridge Milik Solana Kena Hack! $325 Juta Hilang