Beberapa protokol keuangan terdesentralisasi (DeFi) mengalami eksploitasi pada hari Kamis (14/12). Masalah keamanan ini diduga terkait dengan perangkat lunak Connect Kit milik penyedia dompet perangkat keras Ledger, yang diandalkan aplikasi terdesentralisasi (DApps).

Protokol yang terkena dampak dari insiden ini termasuk Zapper, SushiSwap, Phantom, Balancer, dan Revoke.cash. Dompet terdesentralisasi MetaMask mengklaim bahwa peretasan tersebut juga berdampak pada para penggunanya.

Serangan ini menimbulkan kerugian signifikan. Platform analisis blockchain Lookonchain memperkirakan bahwa aset kripto senilai $484.000 (Rp7,5 miliar) dicuri dari serangan tersebut. Namun perusahaan keamanan Blockaid mengatakan bahwa jumlahnya telah meningkat menjadi 504.000 (Rp7,8 miliar) pada Jumat dini hari.

Blockaid menduga bahwa Connect Kit Ledger telah disusupi, di mana penyerang mengganti perangkat lunak connector dengan kode berbahaya. Kode berbahaya ini kemudian disuntikkan ke front-end beberapa DApps, untuk menguras aset pengguna. Peretas berhasil masuk ke akun korban dan mencuri aset mereka, dengan menarik mereka untuk menghubungkan dompet mereka melalui pesan pop-up.

Sebagai bentuk pencegahan, beberapa proyek seperti Kyber dan RevokeCash mengonfirmasi di X bahwa mereka menonaktifkan front-end mereka.

Namun, hampir tiga jam setelah kejadian tersebut, Ledger mengonfirmasi bahwa versi berbahaya dari file Connect Kit telah diganti dengan versi asli.

"Kami telah mengidentifikasi dan menghapus versi berbahaya dari Ledger Connect Kit. Versi asli sedang didorong untuk menggantikan file berbahaya sekarang," kata Ledger dalam sebuah pernyataan.

Perusahaan juga memperingatkan para penggunanya untuk selalu melakukan Clear Sign pada setiap transaksi, dan menambahkan bahwa alamat dan informasi yang ditampilkan di layar Ledger adalah satu-satunya informasi yang asli.

"Jika ada perbedaan antara yang ditampilkan di perangkat Ledger dan layar komputer atau ponsel Anda, segera hentikan transaksi tersebut," kata Ledger, memperingatkan pengguna.

CEO Ledger Mengonfirmasi Eksploitasi Connect Kit

CEO Ledger, Pascal Gauthier, telah membahas insiden ini dalam postingan blog perusahaan pada hari Jumat (15/12). Dia mengatakan menyebut peretasan ini sebagai "insiden yang terisolasi" dan menjanjikan kontrol keamanan yang lebih kuat.

Lebih lanjut, dia mengatakan bahwa eksploitasi berjalan selama kurang dari dua jam dan dinonaktifkan dalam waktu 40 menit setelah ditemukan, dan serangan terbatas pada aplikasi terdesentralisasi pihak ketiga (DApps).

Eksploitasi itu terjadi setelah seorang mantan karyawan menjadi korban penipuan phishing, katanya. Identitas karyawan tersebut diduga tertinggal dalam kode yang diretas.

"Praktik standar di Ledger adalah tidak ada satu orang pun yang dapat menyebarkan kode tanpa ditinjau oleh banyak pihak. Kami memiliki kontrol akses yang kuat, tinjauan internal, dan multi-tanda tangan kode dalam hal sebagian besar pengembangan kami. Hal ini berlaku di 99% sistem internal kami. Setiap karyawan yang meninggalkan perusahaan akan dicabut aksesnya dari setiap sistem Ledger," jelas Gauthier.

Lebih lanjut, Gauthier meyakinkan pengguna bahwa Ledger Connect Kit 1.1.8 aman dan siap digunakan. Dia juga berterima kasih kepada WalletConnect, Tether, Chainalysis, dan ZachXBT atas bantuannya.