MetaMask Bantah Mengirim Pesan On-Chain yang Mengejek MEV King: Apa yang Sebenarnya Terjadi?

MetaMask membantah telah mengirim pesan on-chain yang banyak dibagikan dan seolah-olah mengejek Jaredfromsubway, operator MEV Ethereum yang baru-baru ini kehilangan US$15 juta akibat eksploitasi honeypot.

Penyedia wallet tersebut menegaskan bahwa pesan itu berasal dari nama Ethereum Name Service (ENS) yang menyerupai, bukan dari salah satu alamat resminya. Kesalahpahaman ini mengungkap cacat desain dalam cara tampilan nama ENS di sebagian besar platform.

Impersonasi ENS di Balik Kebingungan Nama MetaMask

Kebanyakan platform mengubah handle ENS menjadi huruf kecil sebelum menampilkannya. Konvensi ini menyembunyikan perbedaan penting. “MetaMask.eth” dengan huruf kapital dan “metamask.eth” asli nampak sama bagi sebagian besar pengguna. Padahal, kedua nama tersebut mengarah ke alamat yang benar-benar berbeda di on-chain.

Nama peniru itu menepis ancaman hukum dari Jaredfromsubway dan menyatakan bahwa gugatan tersebut tidak akan bertahan di pengadilan. MetaMask menegaskan di X bahwa mereka tidak terlibat dalam pesan tersebut.

MetaMask Menegaskan Perannya setelah Eksploitasi Jaredfromsubway

Jaredfromsubway sebelumnya sudah menawarkan kesepakatan white hat 50% kepada penyerang dengan batas waktu 48 jam. Ia mengancam akan menempuh jalur hukum jika dana tidak dikembalikan. Kisah soal eksploitasi Ethereum MEV bot ini mendapat perhatian besar di komunitas DeFi. Sorotan tersebut menjadikan insiden ini sebagai target bernilai tinggi untuk peniru.

Penyerang belum menunjukkan tanda-tanda mau menerima tawaran itu. Data on-chain memperlihatkan US$5,1 juta dari total US$7,5 juta yang dicuri telah masuk ke Tornado Cash. Dana tersebut dikirim dalam bentuk 2.000 ETH dan dibagi rata ke dalam 20 transaksi, masing-masing 100 ETH. Penyerang juga menukar sisa 1.422 ETH ke DAI senilai US$2,44 juta, menurut analisis blockchain.

Eksploitasi honeypot MEV bot ini memunculkan pertanyaan baru soal risiko yang dihadapi para operator MEV di lingkungan yang kompetitif. Tapi, impersonasi MetaMask justru menghadirkan masalah lain yang tidak terkait dengan mekanisme MEV. Ini menyoroti kerentanan sistem penamaan yang bisa dialami pengguna Ethereum mana pun.

Celah Desain ENS Membahayakan Pengguna Ethereum

Nama ENS mengikuti standar normalisasi yang mengubah semua huruf kapital menjadi huruf kecil. Proses ini membuat nama tidak peka huruf besar-kecil pada tingkat tampilan, namun pendaftaran tetap membedakan kombinasi huruf besar dan kecil. Jadi, pelaku jahat yang mendaftarkan “MetaMask.eth” sebenarnya memegang nama ENS yang sah secara teknis dengan klaim yang juga sah secara teknis.

ENS tidak memblokir pendaftaran nama yang hanya berbeda dari yang sudah ada dalam hal kapitalisasi. Pelaku bisa mendaftarkan nama mirip lebih dulu, lalu mengaktifkannya saat ada kejadian ramai. Gelombang peretasan kripto di bulan Juni juga sudah menunjukkan pola rekayasa sosial serupa yang berkaitan dengan insiden publik.

Pola Lebih Luas di Keamanan DeFi

Sementara itu, upaya keamanan kripto di level eksekutif masih fokus pada standar kriptografi. Celah keamanan dari lapisan tampilan nama hampir tidak termasuk dalam cakupan regulasi tersebut, sehingga menimbulkan celah yang harus diatasi oleh pengembang dan penyedia wallet sendiri.

Insiden MetaMask ini termasuk ke dalam pola yang juga terjadi di dunia DeFi. Penyerang terus-menerus memanfaatkan celah antara apa yang tampilan interface perlihatkan dengan apa yang protokol benar-benar lakukan. Kerugian pada protokol lending DeFi juga menunjukkan dinamika serupa pada tingkat struktural. Sampai industri menutup celah ini, peniruan identitas di level tampilan akan tetap jadi vektor serangan yang murah tetapi sangat menguntungkan.