Keuangan Desentralisasi Kejadian Keamanan Tinjauan: Analisis Kasus Penting 2022
Pada tahun 2022, terdapat lebih dari 300 insiden keamanan di bidang blockchain, dengan jumlah kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara rinci 8 kasus tipe, di mana sebagian besar jumlah kerugian melebihi 100 juta dolar AS.
Jembatan Ronin
Pada 23 Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan yang mengakibatkan 173.6 ribu ETH dan 25.5 juta USD dicuri, dengan total nilai sekitar 5.9 miliar USD.
Penyerang mengendalikan 5 node validasi jaringan Ronin melalui metode rekayasa sosial, sehingga berhasil mengontrol jaringan. Metode serangan ini disebut APT( ancaman berkelanjutan tingkat lanjut ), di mana peretas terlebih dahulu mengendalikan satu komputer internal sebagai jembatan, kemudian menyusup ke seluruh sistem.
Kejadian ini mengungkapkan lemahnya kesadaran keamanan karyawan perusahaan Axie Infinity, serta adanya celah dalam sistem keamanan internal perusahaan.
Wormhole
Jembatan lintas rantai Wormhole diserang, kehilangan sekitar 120.000 ETH. Masalah terletak pada kode verifikasi tanda tangan di kontrak inti Solana yang memiliki kesalahan, memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus Wormhole.
Masalah ini terutama disebabkan oleh penggunaan beberapa fungsi yang sudah usang. Disarankan bagi pengembang untuk menggunakan versi terbaru dari repositori kode, agar terhindar dari masalah serupa.
Jembatan Nomad
Jembatan Nomad mengalami masalah pengaturan saat inisialisasi, yang memungkinkan penyerang untuk menyusun pesan apa pun untuk mencuri dana dari jembatan, dengan total kerugian sekitar 190 juta dolar.
Penyerang memanfaatkan kerentanan ini untuk mengirimkan data transaksi yang telah disusun berulang kali, menarik dana yang dikunci di jembatan lintas rantai. Banyak robot MEV juga terlibat dalam kejadian "mencuri uang" ini.
Kasus ini mengungkapkan bahwa ketika proyek sumber terbuka mengalami celah, sangat mudah bagi penyerang untuk memanfaatkannya. Pihak proyek perlu lebih berhati-hati dalam menangani masalah keamanan kode.
Beanstalk
Proyek stablecoin algoritmik Beanstalk Farms mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta dolar AS.
Penyerang memanfaatkan celah dalam mekanisme pemerintahan proyek: tidak ada jeda waktu antara pemungutan suara proposal dan pelaksanaan. Penyerang memperoleh sejumlah besar token melalui pinjaman kilat untuk memberikan suara pada proposal jahat, dan segera mengeksekusinya.
Kasus ini mencerminkan bahwa mekanisme tata kelola terdesentralisasi memerlukan lebih banyak pertimbangan keamanan, seperti pengaturan kunci waktu dan lain-lain.
Wintermute
Penyedia likuiditas Wintermute mengalami kerugian sekitar 160 juta dolar akibat menggunakan alat pembangkit nomor cantik Profanity yang memiliki celah keamanan, yang mengakibatkan kunci pribadi pemilik kontrak berhasil diretas.
Ini mengingatkan kita bahwa kita harus melakukan evaluasi keamanan yang memadai saat menggunakan alat sumber terbuka.
Jembatan Harmony
Jembatan lintas rantai Horizon dari Harmony diserang, dengan kerugian lebih dari 100 juta USD. Menurut laporan, diduga dilakukan oleh kelompok peretas asal Korea Utara, Lazarus Group.
Ini sekali lagi menyoroti risiko keamanan jembatan lintas rantai, serta ancaman dari beberapa organisasi peretas tingkat negara terhadap proyek blockchain.
Ankr
Proyek Ankr mengalami masalah akibat tindakan jahat dari orang dalam, yang mengakibatkan 1 triliun aBNBc dicetak secara sembarangan, menyebabkan konsekuensi serius.
Hal ini mencerminkan adanya masalah serius dalam manajemen izin internal proyek, operasi kunci harus menggunakan metode yang lebih aman seperti dompet multisignature.
Mango
Platform pertukaran terdesentralisasi Mango mengalami serangan manipulasi pasar, dengan kerugian sekitar 1,15 juta dolar AS.
Penyerang memanfaatkan masalah kurangnya likuiditas pada token kecil di platform, untuk memperoleh keuntungan melalui pembukaan posisi ganda dan manipulasi harga. Ini mengungkapkan adanya celah dalam desain model bisnis proyek.
Kasus-kasus ini mengingatkan kita bahwa proyek blockchain tidak hanya harus memperhatikan keamanan kode, tetapi juga harus mempertimbangkan dengan baik kemungkinan celah dalam model bisnis. Pengguna yang berpartisipasi dalam proyek juga harus mengevaluasi risiko secara menyeluruh.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Delapan Peristiwa Keamanan DeFi Tahun 2022: Kerugian Mencapai Ratusan Juta Dolar
Keuangan Desentralisasi Kejadian Keamanan Tinjauan: Analisis Kasus Penting 2022
Pada tahun 2022, terdapat lebih dari 300 insiden keamanan di bidang blockchain, dengan jumlah kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara rinci 8 kasus tipe, di mana sebagian besar jumlah kerugian melebihi 100 juta dolar AS.
Jembatan Ronin
Pada 23 Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan yang mengakibatkan 173.6 ribu ETH dan 25.5 juta USD dicuri, dengan total nilai sekitar 5.9 miliar USD.
Penyerang mengendalikan 5 node validasi jaringan Ronin melalui metode rekayasa sosial, sehingga berhasil mengontrol jaringan. Metode serangan ini disebut APT( ancaman berkelanjutan tingkat lanjut ), di mana peretas terlebih dahulu mengendalikan satu komputer internal sebagai jembatan, kemudian menyusup ke seluruh sistem.
Kejadian ini mengungkapkan lemahnya kesadaran keamanan karyawan perusahaan Axie Infinity, serta adanya celah dalam sistem keamanan internal perusahaan.
Wormhole
Jembatan lintas rantai Wormhole diserang, kehilangan sekitar 120.000 ETH. Masalah terletak pada kode verifikasi tanda tangan di kontrak inti Solana yang memiliki kesalahan, memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus Wormhole.
Masalah ini terutama disebabkan oleh penggunaan beberapa fungsi yang sudah usang. Disarankan bagi pengembang untuk menggunakan versi terbaru dari repositori kode, agar terhindar dari masalah serupa.
Jembatan Nomad
Jembatan Nomad mengalami masalah pengaturan saat inisialisasi, yang memungkinkan penyerang untuk menyusun pesan apa pun untuk mencuri dana dari jembatan, dengan total kerugian sekitar 190 juta dolar.
Penyerang memanfaatkan kerentanan ini untuk mengirimkan data transaksi yang telah disusun berulang kali, menarik dana yang dikunci di jembatan lintas rantai. Banyak robot MEV juga terlibat dalam kejadian "mencuri uang" ini.
Kasus ini mengungkapkan bahwa ketika proyek sumber terbuka mengalami celah, sangat mudah bagi penyerang untuk memanfaatkannya. Pihak proyek perlu lebih berhati-hati dalam menangani masalah keamanan kode.
Beanstalk
Proyek stablecoin algoritmik Beanstalk Farms mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta dolar AS.
Penyerang memanfaatkan celah dalam mekanisme pemerintahan proyek: tidak ada jeda waktu antara pemungutan suara proposal dan pelaksanaan. Penyerang memperoleh sejumlah besar token melalui pinjaman kilat untuk memberikan suara pada proposal jahat, dan segera mengeksekusinya.
Kasus ini mencerminkan bahwa mekanisme tata kelola terdesentralisasi memerlukan lebih banyak pertimbangan keamanan, seperti pengaturan kunci waktu dan lain-lain.
Wintermute
Penyedia likuiditas Wintermute mengalami kerugian sekitar 160 juta dolar akibat menggunakan alat pembangkit nomor cantik Profanity yang memiliki celah keamanan, yang mengakibatkan kunci pribadi pemilik kontrak berhasil diretas.
Ini mengingatkan kita bahwa kita harus melakukan evaluasi keamanan yang memadai saat menggunakan alat sumber terbuka.
Jembatan Harmony
Jembatan lintas rantai Horizon dari Harmony diserang, dengan kerugian lebih dari 100 juta USD. Menurut laporan, diduga dilakukan oleh kelompok peretas asal Korea Utara, Lazarus Group.
Ini sekali lagi menyoroti risiko keamanan jembatan lintas rantai, serta ancaman dari beberapa organisasi peretas tingkat negara terhadap proyek blockchain.
Ankr
Proyek Ankr mengalami masalah akibat tindakan jahat dari orang dalam, yang mengakibatkan 1 triliun aBNBc dicetak secara sembarangan, menyebabkan konsekuensi serius.
Hal ini mencerminkan adanya masalah serius dalam manajemen izin internal proyek, operasi kunci harus menggunakan metode yang lebih aman seperti dompet multisignature.
Mango
Platform pertukaran terdesentralisasi Mango mengalami serangan manipulasi pasar, dengan kerugian sekitar 1,15 juta dolar AS.
Penyerang memanfaatkan masalah kurangnya likuiditas pada token kecil di platform, untuk memperoleh keuntungan melalui pembukaan posisi ganda dan manipulasi harga. Ini mengungkapkan adanya celah dalam desain model bisnis proyek.
Kasus-kasus ini mengingatkan kita bahwa proyek blockchain tidak hanya harus memperhatikan keamanan kode, tetapi juga harus mempertimbangkan dengan baik kemungkinan celah dalam model bisnis. Pengguna yang berpartisipasi dalam proyek juga harus mengevaluasi risiko secara menyeluruh.