ZachXBT Ungkap: Proyek BSC 'GANA Payment' Kena Eksploitasi Sebesar $3,1 Juta

Tinjauan Eksploitasi GANA Payment

Peneliti keamanan blockchain ZachXBT mengungkap pelanggaran keamanan serius yang menimpa GANA Payment, sebuah proyek mata uang kripto di BNB Smart Chain (BSC). Eksploitasi ini menyebabkan kerugian lebih dari $3,1 juta, menambah daftar insiden yang menjadi perhatian dalam lanskap keamanan blockchain.

Serangan ini memperlihatkan kecanggihan taktik penjahat siber di industri kripto. Setelah pencurian dana, pelaku berhasil mencuci sebagian besar hasil curian melalui Tornado Cash, protokol privasi yang beroperasi di jaringan BSC dan Ethereum. Sekitar $1 juta aset masih mengendap di blockchain Ethereum dan berpotensi dipindahkan sewaktu-waktu oleh pelaku.

Menurut informasi mendetail dari ZachXBT melalui kanal Telegram-nya, pelaku secara sistematis mengonsolidasikan aset curian di alamat 0x2e8****5c38. Selanjutnya, pelaku menyetorkan 1.140 token BNB senilai sekitar $1,04 juta ke Tornado Cash di jaringan BSC. Metode ini lazim digunakan peretas untuk menyamarkan jejak aset kripto hasil curian.

Serangan berlanjut dengan pelaku menjembatankan dana ke jaringan Ethereum. Dalam manuver lintas rantai ini, pelaku memindahkan 346,8 ETH senilai $1,05 juta melalui mixer privasi Tornado Cash. Namun, analisis blockchain menemukan 346 ETH masih diam di alamat 0x7a503****b3cca, kemungkinan sebagai bagian dari strategi pelaku untuk menunggu waktu sebelum memindahkan dana demi menghindari deteksi.

Kejadian ini menyoroti tantangan berkelanjutan yang dihadapi proyek blockchain dalam menjaga ketahanan keamanan. Penggunaan protokol privasi seperti Tornado Cash menunjukkan bagaimana alat legal dapat dimanfaatkan untuk aktivitas ilegal, sehingga memperumit upaya pemulihan dana dan penyelidikan oleh otoritas.

Analisis Teknis: Manipulasi Kepemilikan Kontrak

Perusahaan keamanan blockchain HashDit melakukan analisis cepat setelah mendeteksi aktivitas on-chain yang mencurigakan. Investigasi mereka segera menemukan kerentanan mendasar yang dimanfaatkan dalam serangan: manipulasi tidak sah struktur kepemilikan kontrak GANA.

Eksploitasi berfokus pada perubahan berbahaya terhadap parameter kepemilikan pada infrastruktur smart contract GANA. Dengan menguasai fungsi kepemilikan vital, peretas memperoleh hak administratif atas mekanisme staking protokol. Akses ini memungkinkan pelaku memanipulasi tingkat distribusi hadiah, sehingga merusak integritas sistem staking.

Eksekusi teknis serangan melibatkan beberapa langkah canggih. Awalnya, pelaku mengeksploitasi kerentanan kepemilikan untuk mengendalikan fungsi utama kontrak. Setelah berhasil, pelaku berulang kali menjalankan fungsi unstake, setiap kali menerima token GANA jauh lebih banyak dari jumlah distribusi normal. Manipulasi mekanisme perhitungan hadiah ini memungkinkan pelaku mencetak atau mengekstraksi token secara berlebihan dibandingkan pengguna sah.

Setelah menguasai token hasil eksploitasi, pelaku menjalankan strategi dumping terkoordinasi di bursa terdesentralisasi. Mereka membanjiri pasar dengan token GANA hasil curian untuk dikonversi menjadi mata uang kripto utama seperti BNB dan ETH yang lebih likuid. Proses konversi ini penting agar dana dapat dicuci dan dipindahkan dengan opsi lebih luas.

Tahapan akhir melibatkan pengiriman hasil konversi melalui protokol privasi Tornado Cash. Layanan mixer ini memutus jejak transaksi di blockchain antara alamat sumber dan tujuan, sehingga menyulitkan pelacakan dana curian oleh penyidik.

HashDit menerbitkan imbauan keamanan mendesak agar pengguna segera menghentikan semua aktivitas perdagangan terkait token GANA sampai ada panduan resmi dan patch keamanan dari tim pengembang. Perusahaan menegaskan bahwa interaksi lanjutan dengan kontrak yang telah disusupi dapat meningkatkan risiko bagi pengguna.

Kejadian ini menambah daftar insiden keamanan BSC, meski secara umum jaringan telah membaik dalam hal metrik keamanan. Berdasarkan analisis gabungan BNB Chain dan Hacken, ekosistem mencatat penurunan total kerugian hingga 70%, dari $161 juta pada 2023 menjadi $47 juta pada 2024. Meski tren ini positif dan protokol keamanan diperkuat, serangan terisolasi seperti eksploitasi GANA tetap menguji daya tahan jaringan.

Insiden keamanan sebelumnya di BSC memberikan gambaran evolusi ancaman. Kasus phishing pada September menyebabkan kerugian $13,5 juta bagi pengguna Venus Protocol setelah menyetujui transaksi berbahaya. Namun, smart contract inti Venus Protocol tetap aman, dan kerugian terjadi karena rekayasa sosial di pihak pengguna, bukan kerentanan protokol.

Selain itu, platform meme coin Four.Meme mengalami pelanggaran keamanan senilai $183.000 di masa volatilitas pasar. Serangan yang diduga memakai teknik sandwich attack ini mengakibatkan kehilangan sekitar 125 BNB dan terjadi di tengah fluktuasi perdagangan token Test milik platform tersebut.

Rencana Pemulihan dan Investigasi Tim

Tim pengembang GANA langsung merespons insiden keamanan ini melalui pengumuman resmi yang mengakui adanya serangan eksternal terhadap infrastruktur kontrak interaksi mereka. Pernyataan tersebut menegaskan bahwa pihak tidak sah berhasil mengakses dan mengekstrak aset pengguna dengan mengeksploitasi kerentanan kontrak.

Dalam responsnya, tim menjabarkan langkah cepat yang diambil. Mereka melibatkan perusahaan keamanan independen dengan keahlian forensik blockchain dan keamanan smart contract. Kolaborasi ini bertujuan melakukan investigasi darurat menyeluruh pada beberapa aspek utama: analisis detail vektor serangan dan titik masuk, identifikasi kerentanan yang dimanfaatkan, serta penilaian dampak menyeluruh terhadap pengguna dan infrastruktur protokol.

Strategi pemulihan terdiri dari beberapa komponen utama. Proyek berkomitmen mengaktifkan reboot sistem total, termasuk pemetaan menyeluruh seluruh alamat aset pengguna beserta level izinnya. Audit detail ini untuk memastikan tidak ada kerentanan tersisa sebelum aktivitas kembali dijalankan.

Tim GANA juga menyampaikan permintaan maaf secara resmi kepada pengguna terdampak atas ketidaknyamanan dan kerugian finansial akibat insiden ini. Mereka berjanji menjaga komunikasi transparan sepanjang proses pemulihan dan akan menginformasikan rencana pemulihan, mekanisme kompensasi, dan jadwal implementasi melalui kanal resmi dalam waktu dekat.

Eksploitasi ini terjadi saat industri mata uang kripto sedang mencatat rendahnya insiden keamanan. Data dari PeckShield menunjukkan kerugian bulanan terendah secara industri, dengan hanya $18,18 juta hilang dalam 15 insiden pada periode terakhir, turun 85,7% dari $127,06 juta di bulan sebelumnya.

Namun, para ahli keamanan menegaskan bahwa meskipun statistik membaik, aktor ancaman terus mengembangkan metode serangan mereka seiring penguatan pertahanan protokol. Kecanggihan eksploitasi GANA membuktikan adanya perang strategi berkelanjutan antara penyerang dan pembela.

Pelanggaran GANA juga terjadi berdekatan dengan serangan besar pada Balancer Protocol. Dalam insiden terbaru, Balancer kehilangan lebih dari $128 juta di berbagai jaringan blockchain. Pelaku mengeksploitasi Balancer V2 Composable Stable Pools melalui manipulasi smart contract canggih—termasuk pemeriksaan otorisasi yang salah dan kerentanan callback. Dana dalam jumlah besar hilang dalam hitungan menit, dan pelaku mencuci hasilnya melalui Tornado Cash menggunakan teknik serupa dengan kasus GANA.

Sementara protokol liquid staking StakeWise berhasil memulihkan $19,3 juta osETH lewat panggilan kontrak darurat sehingga total kerugian bersih Balancer turun menjadi sekitar $98 juta, insiden ini menyebabkan dampak pasar yang signifikan. Total value locked (TVL) Balancer anjlok dari $442 juta menjadi $214,52 juta dalam sehari, menunjukkan betapa besar kerusakan kepercayaan akibat pelanggaran keamanan pada protokol DeFi.

Serangkaian insiden ini menegaskan pentingnya audit keamanan menyeluruh, sistem pemantauan berkelanjutan, dan respons insiden yang cepat bagi proyek blockchain di ekosistem keuangan terdesentralisasi.

FAQ

Bagaimana eksploitasi $3,1 juta pada proyek GANA Payment dijalankan?

Eksploitasi ini memanfaatkan kerentanan smart contract GANA Payment di BSC, memungkinkan pelaku menguras dana melalui serangan reentrancy dan transfer token tak sah, sehingga terjadi kerugian $3,1 juta.

Apa dampak kerentanan keamanan proyek BSC ini terhadap dana pengguna?

Eksploitasi $3,1 juta ini secara langsung mengompromikan aset pengguna GANA Payment. Pengguna terdampak mengalami kehilangan dana secara instan. Kerentanan ini memungkinkan pelaku menguras pool likuiditas dan saldo pengguna. Tindakan langsung yang diambil meliputi audit keamanan dompet dan pemantauan pemulihan dana melalui analisis blockchain.

Bagaimana cara mengidentifikasi dan menilai risiko keamanan smart contract pada proyek DeFi?

Tinjau hasil audit dari perusahaan terpercaya, analisis kode dalam GitHub, cek program bug bounty, verifikasi kredensial pengembang, telaah riwayat deploy kontrak, cek kedalaman likuiditas, dan pantau umpan balik komunitas terkait indikasi masalah.

Bagaimana tim GANA Payment menangani insiden keamanan ini?

Tim GANA Payment segera menjalankan respons insiden, menghentikan smart contract terdampak, dan melibatkan auditor keamanan untuk menyelidiki eksploitasi $3,1 juta. Tim berkomunikasi terbuka dengan pengguna serta menyiapkan langkah pemulihan dan peningkatan keamanan untuk mencegah kerentanan di masa depan.

Bagaimana investor melindungi diri dari risiko kerentanan proyek blockchain serupa?

Investor perlu melakukan audit smart contract menyeluruh melalui perusahaan terpercaya, diversifikasi investasi, aktif memantau pembaruan keamanan, verifikasi kredensial dan rekam jejak tim pengembang, gunakan hardware wallet untuk penyimpanan, serta hanya berpartisipasi pada proyek dengan tata kelola transparan dan program bug bounty aktif.

Proyek apa saja di ekosistem BSC yang pernah mengalami insiden keamanan akibat kerentanan smart contract?

BSC telah mencatat sejumlah insiden seperti PancakeSwap (serangan flash loan), Binance Bridge (eksploitasi lintas rantai), SafeMoon (kekhawatiran rug pull), dan berbagai proyek lainnya yang menghadapi kerentanan smart contract dan eksploitasi yang menimbulkan kerugian dana signifikan.