By Bitcoinist - 8 bulan lalu - Waktu Membaca: 2 menit
Analis: Pelanggaran Front-End Friend.tech Bisa Lebih “Menghancurkan” Dibandingkan dengan Balancer
Salah satu pengembang inti di balik DeFiLlama, sebuah portal yang menganalisis protokol keuangan terdesentralisasi (DeFi), percaya bahwa peretasan terhadap Friend.tech, jaringan media sosial terdesentralisasi di Base, platform lapisan-2 yang didukung oleh Coinbase, akan lebih “menghancurkan ” daripada pelanggaran baru-baru ini pada Balancer yang front-endnya dieksploitasi dan aset senilai lebih dari $238,000 dilaporkan dicuri.
Di analis penilaian, jaringan media sosial dapat disusupi dengan tiga cara, dengan menyatakan bahwa eksploitasi apa pun yang dimulai dari front-end dapat mengakibatkan pengguna Friend.tech kehilangan dana hanya dengan “membuka aplikasi”, dan menambahkan bahwa mereka tidak perlu “melakukan apa pun”.
3 Cara Pengguna Friend.tech Bisa Kehilangan Dana Jika Diretas
Setelah menganalisis model keamanan Friend.tech, analis menjelaskan bahwa jika iframe langsung mereka disusupi, peretas dapat memperoleh akses tidak sah ke dana pengguna.
Dalam pengembangan web, iframe langsung memungkinkan pengguna menyematkan tautan, bisa dari media sosial atau bahkan Google. Yang dibutuhkan pengembang hanyalah mengaktifkan penambahan HTML sebelum memformat menggunakan CSS.
Meskipun iframe langsung mudah digunakan dan fleksibel, iframe langsung juga menimbulkan risiko keamanan. Hal ini karena dengan mengizinkan siapa pun memasukkan kode HTML, agen jahat dapat memilih untuk menyematkan kode yang rusak.
Selain iframe langsung, analis juga menunjukkan bahwa peretasan pada iframe rahasia Friend.tech dapat menyebabkan hilangnya dana. Dia mencatat bahwa iframe pribadi platform menyimpan kunci pribadi, memungkinkan pengguna dengan mudah menghubungkan dapp dengan dompet non-penahanan mereka seperti MetaMask.
Iframe privat sangat penting dalam DeFi, membentuk infrastruktur penting untuk bursa terdesentralisasi (DEX) dan pasar token non-fungible (NFT) yang beroperasi di jaringan publik seperti Ethereum atau BNB Chain.
Iframe rahasia memungkinkan pengembang untuk menyematkan dompet Privy. Dompet Privy bersifat non-penahanan, artinya pengguna akhir memiliki kendali atas kunci pribadi yang diperlukan. Pada saat yang sama, mereka diisolasi untuk memastikan bahwa kunci pribadi pengguna tidak dapat diakses oleh pihak ketiga atau bahkan kode lain.
Selain itu, analis mencatat bahwa jika iframe rahasia Friend.tech kehilangan data, dana tidak akan dapat diakses karena mereka menyimpan 2/3 pecahan, yang pada dasarnya sama dengan kehilangan kunci pribadi.
Peretasan Penyeimbang
Pada tanggal 19 September, front-end Balancer, protokol DeFi yang memungkinkan pengguna membuat dan mengelola kumpulan likuiditas khusus, telah hack. Peckshield, platform keamanan blockchain, diperkirakan bahwa setidaknya $238,000 aset telah dicuri sebelum Balancer meminta pengguna untuk tidak berinteraksi dengan portal. Saat berinteraksi dengan protokol, beberapa pengguna mencatat bahwa mereka diminta perubahan rantai dan menyetujui kontrak jahat.
Statistik dari DeFiLlama negara bahwa setidaknya $7 miliar aset telah dicuri melalui peretasan. Menurut platform analitik DeFi, selain peretasan Balancer, eksploitasi penting lainnya yang mengakibatkan kerugian signifikan termasuk pelanggaran Remitano di mana peretas mencuri $2.7 juta, dan Curve's yang kehilangan lebih dari $61 juta.
Sumber asli: Bitcoinadalah