Halo Blockheads, berita bagus dan kurang mengenakkan dalam dunia web3 memang selalu beriringan ya. Baru-baru ini 14 Desember, dunia kripto dihebohkan dengan berita peretasan besar-besaran yang menyasar sejumlah aplikasi terdesentralisasi (DApps) yang menggunakan konektor Ledger. Jadinya, beberapa DApps populer seperti Zapper, SushiSwap, Phantom, Balancer, dan Revoke.cash terkena dampak serangan.
Chief Technical Officer SushiSwap, Matthew Lilley diketahui jadi yang pertama kali melaporkan kejadian peretasan ini. Ia mengajak untuk tidak berinteraksi dengan DApps dulu dan menunjuk kerentanan pada konektor Web3, yang memungkinkan kode berbahaya disuntikkan ke banyak DApps. Konektor Ledger, yang digunakan oleh banyak DApps, menjadi fokus serangan, memungkinkan peretas jahat punya akses dan perintah dari dompet browser.
Informasi lebih lanjut mengungkapkan bahwa serangan dipicu karena mantan karyawan Ledger menjadi korban serangan phishing. Setelah itu, peretas mendapatkan akses ke akun Node Package Manager (NPMJS), yang digunakan untuk mengelola perpustakaan bahasa pemrograman JavaScript. Versi berbahaya dari Ledger Connect Kit diunggah ke repo GitHub, menyebabkan DApps mendistribusikan kode berbahaya ke pengguna dan mengakibatkan kehilangan dana sebesar $484,000.
Ledger segera merespon dengan tindakan cepat untuk menghapus versi berbahaya dan merilis pembaruan untuk mengatasi masalah. Meskipun hardware wallet dan software Ledger Live dinyatakan aman, tetap saja pengguna dihimbau untuk tidak berinteraksi dengan DApps hingga pemberitahuan lebih lanjut.
Proyek desentral seperti Kyber dan RevokeCash, pun ikut mengonfirmasi penonaktifan sementara front-end mereka sebagai langkah pencegahan aktif. Pengguna diingatkan untuk memastikan software library mereka bersih dan selalu memperbarui aplikasi mereka. Meskipun pembaruan tanggal 15 Desember dari Ledger menyebutkan kalo Ledger mereka sudah aman digunakan.
Baca Juga: Disebut Aman, Apakah Bitcoin Bisa Diretas?
Selain serangan yang dilakukan oleh Peretas Ledger, ada juga nih serangan serupa yang terjadi pada tanggal 13 Desember di platform OKX DEX. Dalam serangan ini, kunci pribadi admin proxy bocor dan menyebabkan kehilangan uang sekitar $2.7 juta.
Nah Blockheads, serangan-serangan ini bisa dijadikan pengingat bahwa meskipun teknologi Web3 menawarkan desentralisasi, risiko serangan, eksploitasi, dan penipuan tetap ada. Kamu perlu lebih berhati-hati dalam memilih platform dan menyimpan asetnya, dan tetap punya rasa curiga sebelum menyetujui konfirmasi apapun dalam platform desentral web3 yaa.
