- Topik
72k Popularitas
27k Popularitas
9k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
- Sematkan
72k Popularitas
27k Popularitas
9k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
on-chain "penawaran amnesti": bagaimana GMX "meyakinkan" Hacker untuk mengembalikan dana besar dengan 10% bounty?
Ditulis oleh: Luke, Mars Finance
Dalam dunia kripto, dua huruf yang paling mahal mungkin adalah "OK".
Ketika sebuah alamat berhasil "menarik" aset senilai 42 juta dolar AS dari protokol GMX, menghadapi "surat penyerahan" yang dikirim oleh pihak proyek di blockchain, peretas misterius ini tidak berpanjang lebar, tidak menunjukkan teknologinya, hanya dengan satu transaksi dengan tenang membalas dengan dua huruf: "ok". Selanjutnya, sebagian besar dana dikembalikan ke jalurnya.
Kalimat "ok" ini mengakhiri serangan DeFi yang sekelas buku pegangan, dan juga membuka pertanyaan bagi banyak orang: bagaimana bisa bebek yang sudah matang kembali terbang? Apa yang sebenarnya dipikirkan oleh "ilmuwan" yang berhasil ini? Apakah ini adalah penemuan hati nurani yang tiba-tiba, atau ada rahasia lain di baliknya?
Ini bukan sekadar cerita "pencurian yang juga memiliki moral". Ini lebih mirip dengan duel barat yang berlangsung di gurun digital, hanya saja senjata kedua belah pihak adalah kode, teori permainan, dan perhitungan tepat atas keserakahan dan ketakutan manusia. Untuk memahami mengapa hacker mengembalikan dana, kita harus kembali ke lokasi serangan yang mendebarkan itu dan melihat bagaimana "ahli" ini menyelesaikan "aksi berani" ini.
"Blitzkrieg": serangan presisi seperti operasi bedah
Sebelum serangan terjadi, GMX adalah yang paling menonjol di ekosistem Arbitrum, dengan total nilai terkunci (TVL) lebih dari 450 juta dolar dan pengguna yang melimpah, menjadi "rumah bahagia" bagi banyak trader. Dengan ukuran yang besar, ia tentu saja menjadi "brankas bergerak" di mata predator puncak.
Pada 9 Juli, hacker ini mulai bertindak. Dia tidak memilih untuk melakukan serangan brute force, melainkan seperti seorang ahli bedah berpengalaman, menemukan 'fokus penyakit' yang sangat tersembunyi dalam kode GMX V1. Inti dari serangan kali ini adalah 'vulnerability reentrancy' yang ditakuti banyak orang di dalam industri, tetapi cara bermainnya telah ditingkatkan. Ahli ini tidak menyerang secara sembarangan, melainkan menggabungkan serangan reentrancy dengan cacat logika lain dalam protokol GMX saat menghitung total nilai aset yang dikelola (AUM), menampilkan pertunjukan "empat ons menggerakkan seribu pon" yang mengesankan.
Secara sederhana, dia seperti seorang penjudi yang bisa berperan sebagai "wasit" dan "atlet" sekaligus. Pada saat membuka posisi, dia memanfaatkan celah untuk mempengaruhi perhitungan harga global, "menciptakan" harga yang sangat menguntungkan bagi dirinya, lalu segera menutup posisi untuk menebusnya dan melarikan uang. Seluruh prosesnya berlangsung dengan lancar, menunjukkan bahwa pemahamannya tentang kode dasar GMX telah melampaui sebagian besar orang.
Setelah berhasil, tindakannya semakin menunjukkan "profesionalismenya". Dana pertama-tama dicuci melalui Tornado Cash untuk menyembunyikan jejaknya, kemudian, sebuah langkah kunci muncul: ia dengan cepat menukar sejumlah besar stablecoin USDC yang dicuri menjadi DAI yang terdesentralisasi. Tindakan ini tampaknya berlebihan, namun merupakan langkah lindung nilai yang layak dicontoh, dan juga menanamkan benih paling penting untuk "kompromi" yang akan dilakukannya kemudian.
Reaksi pasar sangat menakutkan. Harga token GMX jatuh "air terjun", turun hampir 28% dalam beberapa jam, komunitas merasakan kesedihan, pihak proyek dengan cepat "mencabut kabel", menghentikan fungsi terkait untuk mencegah brankas terus dikuras.
Panggilan di Blockchain: Sebuah "Hadiah Siber" yang Dibalut Ancaman dan Iming-Iming
Menghadapi krisis, pihak proyek GMX tidak memilih untuk melaporkan ke polisi, tetapi melakukan sesuatu yang sangat "Crypto" - melakukan panggilan di blockchain. Mereka langsung mengirimkan transaksi ke alamat hacker, dengan pesan yang berisi "surat penyerahan" yang dirumuskan dengan cermat:
"Saudara, kami sudah merasakan kemampuanmu. Sekarang kami memberimu kesempatan, simpan 10% (sekitar 5 juta dolar) sebagai 'hadiah topi putih', kembalikan sisa 90% dalam waktu 48 jam, maka kita anggap ini selesai dan tidak akan mengejar lebih lanjut. Semoga kamu membuat pilihan yang etis."
Kombinasi "wortel dan tongkat besar" ini bisa dibilang adalah proses PR standar setelah pencurian di dunia DeFi. Wortel adalah hadiah besar yang cukup untuk membuat siapa saja bebas secara finansial, sementara tongkat besar adalah ancaman hukum yang tersembunyi di balik "tidak akan mengejar". Hitungan mundur 48 jam bahkan memberi tekanan psikologis yang besar pada hacker, membuatnya tidak memiliki cukup waktu untuk mencuci uang dengan tenang.
Menghadapi "ultimatum" ini, jawaban hacker bisa dianggap sebagai karya seni. Tanpa pembelaan, tanpa ejekan, hanya satu kata "ok". Singkat dan padat, namun sangat berkelas, seolah-olah berkata: "Baiklah, kita akan mengikuti prosesnya."
Rencana jahat para hacker: Mengapa "daging berlemak yang sudah di mulut" harus dikeluarkan?
Apakah hacker benar-benar tergerak oleh kata-kata ini dan memutuskan untuk menjadi Buddha? Tentu saja tidak. Di balik ini, ada perhitungan untung rugi yang sangat dingin.
Pertama, ini adalah transaksi yang dijamin menguntungkan. Di depan hacker ada dua pilihan: Rencana A, mencoba untuk mencuci seluruh 42 juta dolar. Namun, jumlah besar ini sudah diperhatikan oleh detektif blockchain di seluruh dunia (seperti PeckShield, SlowMist), setiap langkah transfer akan disiarkan secara langsung. Dia harus bermain kucing dan tikus dengan regulator, menggunakan alat pencampuran yang berisiko tinggi, dan selalu khawatir bahwa salah satu aspek bisa salah, yang dapat menyebabkan aset dibekukan. Rencana B, menerima tawaran, mengambil hadiah "legal" sebesar 5 juta dolar. Uang ini hampir tanpa risiko, proyek tersebut secara pribadi memberikan dukungan, kesulitan pencucian uang dan risiko ditelusuri telah diminimalkan.
Bagi seorang "ekonom" rasional yang mengejar maksimum keuntungan, apakah lebih baik berlari dengan truk berisi emas di tengah hujan peluru, atau dengan tenang membawa pulang sekotak berlian untuk tidur? Jawabannya jelas.
Kedua, dan ini adalah poin yang paling penting, adalah "Pedang Damocles" yang menggantung di atas kepalanya - "backdoor" dari stablecoin terpusat. Mengapa hacker begitu cepat menukarkan USDC menjadi DAI setelah berhasil? Karena dia tahu dengan jelas bahwa penerbit stablecoin seperti Circle (USDC) dan Tether (USDT) pada dasarnya adalah perusahaan terpusat. Mereka memiliki kemampuan, dan telah beberapa kali memenuhi permintaan dari pihak berwenang, untuk langsung membekukan aset di alamat mana pun. Ini berarti, puluhan juta USDC di alamatnya bisa kapan saja berubah menjadi serangkaian angka yang tidak berharga. "Pintu masuk terpusat" yang ada dalam "keuangan terdesentralisasi" inilah yang menjadi kartu truf terkuatnya untuk memaksa dia kembali ke meja perundingan.
Akhirnya, kita melihat evolusi peran hacker: dari perusak menjadi "pemburu hadiah profesional". Hacker awal mungkin masih memiliki sedikit idealisme atau gaya unjuk kebolehan, seperti penyerang Poly Network yang meninggalkan pernyataan panjang, mengklaim "untuk bersenang-senang". Namun, hacker teratas saat ini semakin pragmatis. Logika perilaku mereka lebih mirip: menemukan celah berharga tinggi → membuktikan nilainya melalui serangan "pendidikan mengejutkan" → memaksa pihak proyek untuk membayar "hadiah super" yang jauh melebihi Bug Bounty biasa. Daripada menyebut mereka hacker, lebih tepat jika disebut sebagai "pemburu celah" yang berada di area abu-abu, dan kali ini GMX, sayangnya, menjadi mangsa mereka.
Kesimpulan: Keseimbangan baru yang rapuh di Wild West
Peristiwa GMX berakhir dengan cara yang unik: sebagian besar aset pengguna berhasil ditemukan kembali, pihak proyek menjaga reputasinya, sementara peretas menghilang dengan sejumlah besar uang di lautan alamat yang tak terhingga.
Peristiwa ini secara sempurna menggambarkan semacam "keseimbangan rapuh" dalam dunia DeFi saat ini. Di satu sisi, transparansi blockchain membuat perilaku jahat tidak dapat bersembunyi; di sisi lain, ketergantungan DeFi pada lembaga terpusat memberikan celah untuk tindakan balasan. Kedua hal ini bersama-sama menciptakan paradigma baru "serangan-negosiasi-hadiah".
Seperti yang dikatakan oleh seorang ahli negosiasi peretas putih anonim, meskipun memberikan 10% sebagai hadiah kepada peretas terdengar seperti mendorong kejahatan, "ketika kamu berhadapan dengan pengguna biasa yang hidup dan mati tergantung pada uang mereka, mereka tidak peduli dengan prinsip-prinsip yang konyol, mereka hanya ingin mendapatkan kembali uang mereka."
Jalan menuju keamanan DeFi penuh rintangan dan panjang. Sebelum kode yang sepenuhnya aman lahir, wilayah liar digital ini akan terus menyajikan pertarungan menarik yang diwarnai oleh kode, uang, dan interaksi manusia. Dan cerita GMX hanyalah salah satu bab menarik dalam permainan kucing dan tikus yang tak ada akhirnya ini.