Dompet Coinbase dan aplikasi crypto terdesentralisasi lainnya (dapps) ditemukan rentan terhadap “serangan pil merah”, sebuah metode yang dapat digunakan untuk menyembunyikan perilaku kontrak cerdas berbahaya dari fitur keamanan.
Coinbase adalah pertukaran cryptocurrency terkemuka yang menawarkan aplikasi dompet crypto bagi pengguna untuk menyimpan, mengelola, dan berinteraksi dengan berbagai aset digital yang dapat mereka beli dari platform, termasuk token Bitcoin, Ethereum, dan ERC-20.
Peneliti keamanan di ZenGo Wallet telah menemukan bahwa dapps, termasuk Coinbase Wallet, rentan terhadap serangan baru yang memungkinkan kontrak pintar menyembunyikan perilaku jahat selama simulasi transaksi. Hal ini menyebabkan pengguna percaya bahwa transaksi akan aman, dan membiarkannya berlanjut, hanya kemudian mengetahui bahwa kontrak pintar mencuri aset mereka.
Kerentanan itu diungkapkan kepada Coinbase, yang sejak saat itu telah mengatasi masalah keamanan yang dilaporkan dan memberi ZenGo Wallet beberapa hadiah bug untuk pengungkapan yang bertanggung jawab.
Menyerang simulasi
Kontrak pintar Web3 adalah program yang akan secara otomatis dijalankan ketika cryptocurrency terjadi, memungkinkan pengembang berbagai fungsi untuk situs web dan aset crypto.
Misalnya, kontrak pintar dapat digunakan untuk mengirim NFT secara otomatis kepada seseorang setelah pembayaran diterima, pengguna “pajak” untuk menjual aset terlalu cepat setelah membelinya, atau secara otomatis menulis konten ke situs web berdasarkan transaksi. Pada dasarnya, apapun yang dapat diprogram dapat dieksekusi oleh smart contract.
Namun, pelaku ancaman juga menggunakan smart contract untuk alasan jahat, dengan menggunakannya untuk mencuri crypto yang dikirim atau menguras dompet aset.
Permintaan penandatanganan kontrak berbahaya ini sulit dibedakan dari yang sah, sehingga menyulitkan pemegang mata uang kripto untuk menghadapi bahaya.
Untuk mencegah serangan ini, pengembang dapps telah memperkenalkan solusi transaksi simulasi untuk meniru penandatanganan transaksi dan memprediksi hasilnya sebelum pengguna menyetujuinya. Hasil dari simulasi ini kemudian disajikan kepada pengguna, memungkinkan mereka untuk melihat apa yang akan terjadi dan memutuskan apakah mereka ingin melanjutkan transaksi.
(Dompet ZenGo)
Namun, seperti yang disoroti oleh laporan ZenGo Wallet, beberapa smart contract berbahaya dapat mendeteksi ketika mereka sedang disimulasikan dan menunjukkan perilaku tidak autentik agar tampak jinak atau menguntungkan bagi target, sehingga menipu sistem keamanan emulasi web3.
Analis menjelaskan bahwa pelaku ancaman dapat menerapkan “pil merah” dalam kontrak jahat untuk mengubah perilaku mereka saat disimulasikan dan mencuri uang dari target saat disetujui dalam kenyataan.
Serangan ini dilakukan dengan mengisi variabel dalam smart contract dengan data “aman” selama simulasi dan kemudian menukarnya dengan data “jahat” selama transaksi langsung. Ini akan menyebabkan simulasi menunjukkan kontrak pintar sebagai aman selama simulasi, tetapi selama transaksi langsung, itu mencuri crypto pengguna.
“Instruksi “COINBASE” berisi alamat penambang blok saat ini. Karena selama simulasi tidak ada blok nyata dan karenanya tidak ada penambang, beberapa implementasi simulasi hanya mengaturnya ke alamat null (semua alamat nol),” jelas Laporan ZenGo.
“Oleh karena itu, kontrak pintar yang berbahaya dapat mempersenjatai pil merah “COINBASE” ini sebagai berikut: Minta pengguna untuk mengirim beberapa koin asli ke kontrak, jika COINBASE adalah nol (yang berarti simulasi di Polygon), kontrak akan mengirimkan kembali beberapa koin sebagai imbalan, dengan demikian membuat transaksi berpotensi menguntungkan bagi pengguna saat dompetnya mensimulasikannya.”
“Namun, ketika pengguna benar-benar mengirim transaksi on-chain, COINBASE sebenarnya diisi dengan alamat bukan nol dari penambang saat ini dan kontrak hanya mengambil koin yang dikirim.”
Para peneliti juga merilis video berikut untuk mendemonstrasikan serangan ini.
Perhatikan bahwa simulasi menunjukkan bahwa pengguna akan mendapatkan 0,016 WETH ($30) jika mereka menyetujui permintaan transaksi. Namun, mereka tidak mendapatkan imbalan apa pun saat melakukan transaksi langsung.
Dampak
Dengan mengeksplorasi skenario “serangan pil merah” ini, ZenGo Wallet menemukan enam dompet cryptocurrency yang rentan terhadap eksploitasi.
Ini adalah dompet Coinbase, dompet Rabby, Blowfish, PocketUniverse, Fire Extension, dan ekstensi tanpa nama yang belum menyelesaikan masalah.
Semua vendor lain yang disebutkan di atas telah mengimplementasikan perbaikan pada simulasi transaksi mereka segera setelah mereka menerima laporan ZenGo Wallet.
Perbaikan untuk serangan ini adalah berhenti menggunakan nilai arbitrer untuk variabel yang rentan, mencegah penggunaannya sebagai “pil merah” dalam kontrak berbahaya.
