Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Hampir 2 Miliar Dolar Aset Terpengaruh
Terdapat banyak blockchain publik dalam ekosistem blockchain, tetapi sebagian besar rantai kurang memiliki aset mainstream. Untuk memperoleh aset-aset ini, banyak proyek terpaksa bergantung pada jembatan lintas rantai untuk memindahkan aset dari blockchain publik utama seperti Ethereum. Namun, baru-baru ini insiden keamanan di bidang DeFi sering terjadi, jembatan lintas rantai menjadi target populer bagi peretas karena aliran dana yang besar dan operasi yang sering. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai yang signifikan yang terjadi di masa lalu, merangkum pelajaran yang didapat, dengan harapan mengingatkan tim pengembang dan pengguna untuk meningkatkan kewaspadaan.
Perlu dicatat bahwa proyek jembatan lintas rantai yang memiliki kekuatan yang kuat dan latar belakang yang baik sering kali lebih mampu untuk memulihkan aset atau melakukan kompensasi setelah mengalami insiden keamanan. Oleh karena itu, pengguna mungkin lebih bijaksana untuk mempertimbangkan proyek yang kuat saat memilih jembatan lintas rantai.
1. ChainSwap: Kerugian 8 juta USD, penerbitan ulang token
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat hanya 9 hari. Serangan pertama menyebabkan kerugian sekitar 800 ribu dolar AS, sedangkan serangan kedua merugikan hingga 8 juta dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Penyebab kecelakaan adalah ketidakmampuan protokol untuk secara ketat memverifikasi keaslian tanda tangan, yang memungkinkan penyerang untuk menggunakan tanda tangan yang mereka hasilkan sendiri untuk menandatangani transaksi. Karena kerugian terutama melibatkan token tata kelola dari pihak proyek, termasuk ChainSwap, beberapa proyek memilih untuk melakukan snapshot dan menerbitkan token baru, untuk mengkompensasi pemegang token dan penyedia likuiditas.
2. Poly Network: 6,1 juta dolar AS dicuri, akhirnya berhasil dipulihkan sepenuhnya
Pada 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network mengalami serangan hacker, dengan total kerugian sekitar 610 juta dolar AS di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.
Penyerang memanfaatkan celah dalam logika pengelolaan hak kontrak Poly Network untuk berhasil mengubah alamat validator di rantai target, dan selanjutnya mengendalikan operasi transfer aset. Meskipun metode serangannya canggih, hacker pada akhirnya mengembalikan semua dana. Poly Network kemudian menyebutnya sebagai hacker "topi putih", dan mengusulkan untuk mempekerjakannya sebagai kepala penasihat keamanan perusahaan.
3. Multichain: 6 juta dolar AS terpengaruh, telah sebagian dibayar
Pada Januari 2022, Multichain menemukan kerentanan penting yang mempengaruhi berbagai token. Meskipun kerentanan tersebut telah diperbaiki, masih ada beberapa pengguna yang mengalami kerugian karena tidak segera mencabut otorisasi. Total sekitar 6,04 juta dolar AS WETH dan AVAX dicuri.
Penyebab kecelakaan adalah adanya cacat dalam Multichain saat memverifikasi keabsahan token yang dikirimkan oleh pengguna, tidak mempertimbangkan bahwa tidak semua underlying token mengimplementasikan fungsi permit. Tim telah memulihkan hampir 50% dana yang dicuri, dan telah mengajukan skema kompensasi, tetapi hanya terbatas pada pengguna yang mencabut otorisasi kontrak sebelum tanggal yang ditentukan.
4. QBridge: Kerugian 80 juta dolar, hanya mengganti 2%
Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, mengakibatkan kerugian sekitar 80 juta dolar.
Penyerang memanfaatkan celah pada QBridge yang tidak memeriksa apakah alamat nol saat memproses transfer token yang ada dalam daftar putih, mencetak sejumlah besar token xETH secara sembarangan di BSC, dan menggunakan ini sebagai jaminan untuk meminjam token lain dari Qubit, yang mengakibatkan kehabisan jaminan Qubit.
Saat ini, tingkat penggunaan Qubit hampir nol, data resmi menunjukkan bahwa 98% dana yang dicuri belum mendapatkan kompensasi.
5. Meter.io: Kerugian sebesar 4,4 juta dolar AS, berjanji untuk mengganti dengan pendapatan di masa depan
Pada Februari 2022, jembatan lintas rantai Meter Passport dieksploitasi oleh peretas karena "asumsi kepercayaan yang salah", mengakibatkan kerugian sebesar 4,4 juta dolar. Penyerang melaksanakan serangan dengan memalsukan transfer BNB dan ETH.
Tim Meter awalnya berencana untuk menggunakan token MTRG sebagai kompensasi kerugian pengguna, tetapi kemudian memutuskan untuk menerbitkan token PASS baru untuk melakukan pembayaran, dan berjanji untuk membeli kembali token-token ini dengan pendapatan di masa depan. Namun, hingga saat ini, belum ada operasi pembelian kembali yang dilakukan.
6. Ronin: 6,2 juta dolar AS dicuri, telah dibayar penuh
Pada Maret 2022, rantai Ronin yang mendasari permainan blockchain Axie Infinity mengalami serangan besar-besaran, kehilangan sekitar 620 juta dolar. Serangan ini sebenarnya terjadi pada 23 Maret, tetapi baru ditemukan 6 hari kemudian.
Penyerang menggunakan teknik rekayasa sosial untuk menyamar sebagai perusahaan perekrutan yang menghubungi karyawan Sky Mavis, akhirnya berhasil menyusup ke jaringan Ronin dan mengendalikan beberapa node validasi. Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis telah mengumpulkan 150 juta dolar AS melalui putaran pendanaan baru untuk kompensasi kerugian pengguna.
7. Wormhole: Kerugian 326 juta USD, telah dibayar penuh
Pada awal Februari 2022, protokol interoperabilitas lintas rantai Wormhole diserang hacker, kehilangan sekitar 120.000 ETH, senilai 326 juta dolar AS.
Alasan serangan terletak pada kesalahan kode verifikasi tanda tangan pada kontrak inti Wormhole di sisi Solana, yang memungkinkan penyerang untuk memalsukan pesan penjaga dan mencetak whETH. Setelah insiden tersebut, Jump Crypto dengan cepat menyuntikkan 120.000 ETH ke Wormhole, menutupi semua kerugian, sehingga Wormhole dapat melanjutkan operasinya.
8. EvoDeFi: Diperkirakan kerugian lebih dari sepuluh juta dolar, belum ditangani
Pada bulan Juni 2022, terjadi penyimpangan serius USDT di DEX ValleySwap dalam ekosistem Oasis. Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan mencapai level puluhan juta dolar.
Masalahnya terletak pada kurangnya likuiditas di rantai sumber untuk jembatan lintas rantai EVODeFi yang digunakan oleh ValleySwap. EVODeFi mengklaim bahwa kepanikan disebabkan oleh FUD, tetapi penjelasan ini tidak meyakinkan. Pihak resmi Oasis menekankan bahwa mereka tidak memiliki hubungan dengan ValleySwap dan EvoDeFi, serta menunjukkan bahwa EvoDeFi adalah proyek berisiko tinggi, tidak diaudit, dan tidak bersumber terbuka.
Hingga saat ini, kerugian pengguna belum mendapatkan solusi apa pun, pihak terkait tampaknya telah berhenti melakukan komunikasi lebih lanjut.
9. Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam proses penyusunan.
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, menyebabkan kerugian dana sekitar 100 juta dolar AS.
Pendiri Harmony, Stephen Tse, mengakui bahwa serangan mungkin disebabkan oleh "pembocoran kunci pribadi". Dana yang dicuri melibatkan berbagai jaringan dan berbagai mata uang kripto. Setelah kejadian tersebut, Horizon meningkatkan ambang batas tanda tangan ganda, tetapi langkah ini tidak dapat memulihkan kerugian yang telah terjadi.
Harmony pernah mengusulkan untuk secara bertahap mengganti kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi proposal tersebut tidak mendapatkan persetujuan dari komunitas. Saat ini, tim sedang merumuskan kembali rencana kompensasi.
10. Nomad: 1,9 juta dolar AS terpengaruh, proses sedang berlangsung
Pada awal Agustus 2022, jembatan lintas rantai Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya likuiditas sebesar 190 juta USD dengan cepat. Peristiwa ini juga secara tidak langsung mempengaruhi protokol interoperabilitas Layer2 lainnya, Connext, yang menyebabkan kerugian sekitar 3,34 juta USD.
Menurut analisis para ahli, kecelakaan ini berasal dari Nomad yang menginisialisasi root kepercayaan menjadi 0x00 dalam pembaruan kontrak, yang memungkinkan siapa saja untuk mengganti alamat dengan transaksi yang valid dan menarik dana.
Serangan melibatkan 1251 alamat ETH, di mana alamat ENS menyumbang 38% dari total jumlah. Saat ini, pihak proyek belum memberikan rencana kompensasi yang jelas, tetapi beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana.
Kata Penutup
Frekuensi terjadinya kecelakaan keamanan pada jembatan lintas rantai harus mendapatkan perhatian tinggi dari industri. Bahkan jembatan dengan peringkat likuiditas tiga besar seperti Multichain, Portal (Wormhole), dan Poly Network juga pernah menghadapi masalah keamanan, yang menunjukkan bahwa masih terdapat risiko tinggi di bidang jembatan lintas rantai, dan proyek mana pun dapat menghadapi celah keamanan lagi.
Dari kasus-kasus sebelumnya, proyek jembatan lintas rantai yang memiliki latar belakang kuat dan kekuatan finansial yang besar sering kali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan. Misalnya, Poly Network, Ronin Network, dan Wormhole setelah terjadi pencurian dana dalam jumlah besar, semua dapat menemukan kembali dana atau melakukan pembayaran penuh.
Selain itu, kemampuan tim untuk pemantauan waktu nyata dan respons cepat juga sangat penting. Proyek-proyek seperti Hop Protocol dan StarGate dapat segera mengambil tindakan setelah menerima laporan aktivitas mencurigakan, secara efektif mencegah serangan potensial.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Suka
Hadiah
15
6
Bagikan
Komentar
0/400
CoinBasedThinking
· 6jam yang lalu
Hacker benar-benar mudah menghasilkan uang
Lihat AsliBalas0
faded_wojak.eth
· 9jam yang lalu
Suckers adalah yang terpenting untuk bertahan hidup
Serangan Hacker pada jembatan lintas rantai menyebabkan kerugian hampir 2 miliar dolar AS, risiko keamanan masih tinggi.
Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Hampir 2 Miliar Dolar Aset Terpengaruh
Terdapat banyak blockchain publik dalam ekosistem blockchain, tetapi sebagian besar rantai kurang memiliki aset mainstream. Untuk memperoleh aset-aset ini, banyak proyek terpaksa bergantung pada jembatan lintas rantai untuk memindahkan aset dari blockchain publik utama seperti Ethereum. Namun, baru-baru ini insiden keamanan di bidang DeFi sering terjadi, jembatan lintas rantai menjadi target populer bagi peretas karena aliran dana yang besar dan operasi yang sering. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai yang signifikan yang terjadi di masa lalu, merangkum pelajaran yang didapat, dengan harapan mengingatkan tim pengembang dan pengguna untuk meningkatkan kewaspadaan.
Perlu dicatat bahwa proyek jembatan lintas rantai yang memiliki kekuatan yang kuat dan latar belakang yang baik sering kali lebih mampu untuk memulihkan aset atau melakukan kompensasi setelah mengalami insiden keamanan. Oleh karena itu, pengguna mungkin lebih bijaksana untuk mempertimbangkan proyek yang kuat saat memilih jembatan lintas rantai.
1. ChainSwap: Kerugian 8 juta USD, penerbitan ulang token
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat hanya 9 hari. Serangan pertama menyebabkan kerugian sekitar 800 ribu dolar AS, sedangkan serangan kedua merugikan hingga 8 juta dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Penyebab kecelakaan adalah ketidakmampuan protokol untuk secara ketat memverifikasi keaslian tanda tangan, yang memungkinkan penyerang untuk menggunakan tanda tangan yang mereka hasilkan sendiri untuk menandatangani transaksi. Karena kerugian terutama melibatkan token tata kelola dari pihak proyek, termasuk ChainSwap, beberapa proyek memilih untuk melakukan snapshot dan menerbitkan token baru, untuk mengkompensasi pemegang token dan penyedia likuiditas.
2. Poly Network: 6,1 juta dolar AS dicuri, akhirnya berhasil dipulihkan sepenuhnya
Pada 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network mengalami serangan hacker, dengan total kerugian sekitar 610 juta dolar AS di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.
Penyerang memanfaatkan celah dalam logika pengelolaan hak kontrak Poly Network untuk berhasil mengubah alamat validator di rantai target, dan selanjutnya mengendalikan operasi transfer aset. Meskipun metode serangannya canggih, hacker pada akhirnya mengembalikan semua dana. Poly Network kemudian menyebutnya sebagai hacker "topi putih", dan mengusulkan untuk mempekerjakannya sebagai kepala penasihat keamanan perusahaan.
3. Multichain: 6 juta dolar AS terpengaruh, telah sebagian dibayar
Pada Januari 2022, Multichain menemukan kerentanan penting yang mempengaruhi berbagai token. Meskipun kerentanan tersebut telah diperbaiki, masih ada beberapa pengguna yang mengalami kerugian karena tidak segera mencabut otorisasi. Total sekitar 6,04 juta dolar AS WETH dan AVAX dicuri.
Penyebab kecelakaan adalah adanya cacat dalam Multichain saat memverifikasi keabsahan token yang dikirimkan oleh pengguna, tidak mempertimbangkan bahwa tidak semua underlying token mengimplementasikan fungsi permit. Tim telah memulihkan hampir 50% dana yang dicuri, dan telah mengajukan skema kompensasi, tetapi hanya terbatas pada pengguna yang mencabut otorisasi kontrak sebelum tanggal yang ditentukan.
4. QBridge: Kerugian 80 juta dolar, hanya mengganti 2%
Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, mengakibatkan kerugian sekitar 80 juta dolar.
Penyerang memanfaatkan celah pada QBridge yang tidak memeriksa apakah alamat nol saat memproses transfer token yang ada dalam daftar putih, mencetak sejumlah besar token xETH secara sembarangan di BSC, dan menggunakan ini sebagai jaminan untuk meminjam token lain dari Qubit, yang mengakibatkan kehabisan jaminan Qubit.
Saat ini, tingkat penggunaan Qubit hampir nol, data resmi menunjukkan bahwa 98% dana yang dicuri belum mendapatkan kompensasi.
5. Meter.io: Kerugian sebesar 4,4 juta dolar AS, berjanji untuk mengganti dengan pendapatan di masa depan
Pada Februari 2022, jembatan lintas rantai Meter Passport dieksploitasi oleh peretas karena "asumsi kepercayaan yang salah", mengakibatkan kerugian sebesar 4,4 juta dolar. Penyerang melaksanakan serangan dengan memalsukan transfer BNB dan ETH.
Tim Meter awalnya berencana untuk menggunakan token MTRG sebagai kompensasi kerugian pengguna, tetapi kemudian memutuskan untuk menerbitkan token PASS baru untuk melakukan pembayaran, dan berjanji untuk membeli kembali token-token ini dengan pendapatan di masa depan. Namun, hingga saat ini, belum ada operasi pembelian kembali yang dilakukan.
6. Ronin: 6,2 juta dolar AS dicuri, telah dibayar penuh
Pada Maret 2022, rantai Ronin yang mendasari permainan blockchain Axie Infinity mengalami serangan besar-besaran, kehilangan sekitar 620 juta dolar. Serangan ini sebenarnya terjadi pada 23 Maret, tetapi baru ditemukan 6 hari kemudian.
Penyerang menggunakan teknik rekayasa sosial untuk menyamar sebagai perusahaan perekrutan yang menghubungi karyawan Sky Mavis, akhirnya berhasil menyusup ke jaringan Ronin dan mengendalikan beberapa node validasi. Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis telah mengumpulkan 150 juta dolar AS melalui putaran pendanaan baru untuk kompensasi kerugian pengguna.
7. Wormhole: Kerugian 326 juta USD, telah dibayar penuh
Pada awal Februari 2022, protokol interoperabilitas lintas rantai Wormhole diserang hacker, kehilangan sekitar 120.000 ETH, senilai 326 juta dolar AS.
Alasan serangan terletak pada kesalahan kode verifikasi tanda tangan pada kontrak inti Wormhole di sisi Solana, yang memungkinkan penyerang untuk memalsukan pesan penjaga dan mencetak whETH. Setelah insiden tersebut, Jump Crypto dengan cepat menyuntikkan 120.000 ETH ke Wormhole, menutupi semua kerugian, sehingga Wormhole dapat melanjutkan operasinya.
8. EvoDeFi: Diperkirakan kerugian lebih dari sepuluh juta dolar, belum ditangani
Pada bulan Juni 2022, terjadi penyimpangan serius USDT di DEX ValleySwap dalam ekosistem Oasis. Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan mencapai level puluhan juta dolar.
Masalahnya terletak pada kurangnya likuiditas di rantai sumber untuk jembatan lintas rantai EVODeFi yang digunakan oleh ValleySwap. EVODeFi mengklaim bahwa kepanikan disebabkan oleh FUD, tetapi penjelasan ini tidak meyakinkan. Pihak resmi Oasis menekankan bahwa mereka tidak memiliki hubungan dengan ValleySwap dan EvoDeFi, serta menunjukkan bahwa EvoDeFi adalah proyek berisiko tinggi, tidak diaudit, dan tidak bersumber terbuka.
Hingga saat ini, kerugian pengguna belum mendapatkan solusi apa pun, pihak terkait tampaknya telah berhenti melakukan komunikasi lebih lanjut.
9. Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam proses penyusunan.
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, menyebabkan kerugian dana sekitar 100 juta dolar AS.
Pendiri Harmony, Stephen Tse, mengakui bahwa serangan mungkin disebabkan oleh "pembocoran kunci pribadi". Dana yang dicuri melibatkan berbagai jaringan dan berbagai mata uang kripto. Setelah kejadian tersebut, Horizon meningkatkan ambang batas tanda tangan ganda, tetapi langkah ini tidak dapat memulihkan kerugian yang telah terjadi.
Harmony pernah mengusulkan untuk secara bertahap mengganti kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi proposal tersebut tidak mendapatkan persetujuan dari komunitas. Saat ini, tim sedang merumuskan kembali rencana kompensasi.
10. Nomad: 1,9 juta dolar AS terpengaruh, proses sedang berlangsung
Pada awal Agustus 2022, jembatan lintas rantai Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya likuiditas sebesar 190 juta USD dengan cepat. Peristiwa ini juga secara tidak langsung mempengaruhi protokol interoperabilitas Layer2 lainnya, Connext, yang menyebabkan kerugian sekitar 3,34 juta USD.
Menurut analisis para ahli, kecelakaan ini berasal dari Nomad yang menginisialisasi root kepercayaan menjadi 0x00 dalam pembaruan kontrak, yang memungkinkan siapa saja untuk mengganti alamat dengan transaksi yang valid dan menarik dana.
Serangan melibatkan 1251 alamat ETH, di mana alamat ENS menyumbang 38% dari total jumlah. Saat ini, pihak proyek belum memberikan rencana kompensasi yang jelas, tetapi beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana.
Kata Penutup
Frekuensi terjadinya kecelakaan keamanan pada jembatan lintas rantai harus mendapatkan perhatian tinggi dari industri. Bahkan jembatan dengan peringkat likuiditas tiga besar seperti Multichain, Portal (Wormhole), dan Poly Network juga pernah menghadapi masalah keamanan, yang menunjukkan bahwa masih terdapat risiko tinggi di bidang jembatan lintas rantai, dan proyek mana pun dapat menghadapi celah keamanan lagi.
Dari kasus-kasus sebelumnya, proyek jembatan lintas rantai yang memiliki latar belakang kuat dan kekuatan finansial yang besar sering kali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan. Misalnya, Poly Network, Ronin Network, dan Wormhole setelah terjadi pencurian dana dalam jumlah besar, semua dapat menemukan kembali dana atau melakukan pembayaran penuh.
Selain itu, kemampuan tim untuk pemantauan waktu nyata dan respons cepat juga sangat penting. Proyek-proyek seperti Hop Protocol dan StarGate dapat segera mengambil tindakan setelah menerima laporan aktivitas mencurigakan, secara efektif mencegah serangan potensial.