Tinjauan dan Analisis Peristiwa Keamanan Besar di Bidang Keuangan Desentralisasi Tahun 2022

Pada tahun 2022, kejadian keamanan blockchain sering terjadi, berdasarkan statistik, terjadi lebih dari 300 kasus sepanjang tahun dengan jumlah kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis 8 kasus yang khas, di mana sebagian besar mengalami kerugian lebih dari 100 juta dolar AS dan memiliki representasi yang kuat.

Jembatan Ronin

Pada Maret 2022, jaringan samping NFT game Axie Infinity, Ronin Network, diserang, mengakibatkan kerugian sebesar 173.600 ETH dan 25,5 juta USD, dengan total nilai sekitar 625 juta USD. Menurut penyelidikan, kelompok peretas Korea Utara Lazarus terkait dengan insiden ini.

Penyerang menggunakan teknik rekayasa sosial untuk menipu karyawan perusahaan Sky Mavis agar mengunduh surat penerimaan palsu yang mengandung malware, sehingga berhasil menyusup ke sistem dan mengendalikan 5 node verifikasi, yang akhirnya menyelesaikan serangan.

Kejadian ini mengungkapkan kekurangan pihak proyek dalam kesadaran keamanan karyawan dan sistem keamanan internal. Pada saat yang sama, ini juga menunjukkan bahwa kelompok peretas tradisional secara bertahap mengalihkan target serangan mereka ke proyek blockchain.

Wormhole

Jembatan lintas rantai Wormhole diserang, kehilangan sekitar 120.000 ETH. Masalahnya terletak pada kode verifikasi tanda tangan dari kontrak inti di sisi Solana yang memiliki kesalahan, memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus.

Kekurangan ini terutama disebabkan oleh penggunaan beberapa fungsi yang sudah usang. Disarankan agar pengembang selalu menggunakan versi terbaru dari bahasa pemrograman dan alat, untuk menghindari masalah serupa.

Jembatan Nomad

Protokol lintas rantai Nomad Bridge diserang, dengan kerugian lebih dari 190 juta dolar AS. Penyebabnya adalah pengaturan akar tepercaya yang salah saat inisialisasi, dan tidak menonaktifkan akar lama, yang memungkinkan penyerang untuk menyusun pesan apa pun untuk menarik dana.

Hacker memanfaatkan celah tersebut untuk mengirim ulang data transaksi yang telah disusun, menguras hampir semua dana yang terkunci. Sekitar 41 alamat mendapatkan keuntungan sebesar 1,52 juta dolar AS, termasuk robot MEV, hacker lainnya, dan beberapa hacker topi putih.

Kasus ini menyoroti pentingnya pengaturan inisialisasi kontrak pintar, serta kompleksitas berbagai peserta dalam ekosistem blockchain publik.

Beanstalk

Proyek stablecoin algoritmik Beanstalk Farms mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta USD. Penyerang meraup keuntungan lebih dari 80 juta USD.

Serangan memanfaatkan celah dalam mekanisme tata kelola proyek - tidak ada jeda waktu antara pemungutan suara proposal dan pelaksanaannya. Penyerang memperoleh banyak hak suara melalui pinjaman kilat dan langsung melaksanakan operasi arbitrase melalui proposal jahat.

Peristiwa ini mengungkapkan risiko yang mungkin ada dalam mekanisme pemerintahan yang sepenuhnya terdesentralisasi, seperti audit proposal, bobot suara, dan penguncian waktu yang perlu dirancang dengan cermat.

Wintermute

Penyedia likuiditas Wintermute mengalami kerugian sekitar 160 juta USD akibat menggunakan alat pembuat alamat Profanity yang memiliki kerentanan, yang menyebabkan kunci privat mereka diretas.

Kasus ini mengingatkan kita untuk berhati-hati saat menggunakan alat sumber terbuka, sebaiknya melakukan evaluasi keamanan yang memadai. Hal ini juga mencerminkan bahwa mengejar alamat "nomor cantik" dapat membawa risiko keamanan.

Jembatan Harmony

Jembatan lintas rantai Horizon dari Harmony diserang, kerugian melebihi 100 juta dolar. Menurut analisis, diduga dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.

Metode serangan mirip dengan insiden Ronin Bridge, sekali lagi menyoroti bahwa ancaman peretasan berskala negara terhadap industri cryptocurrency semakin serius.

Ankr

Ankr mengalami tindakan jahat dari dalam, yang menyebabkan 100 triliun aBNBc dicetak begitu saja. Penyerang mencairkan 5 juta USDC, dan ada juga pelaku arbitrase yang meraup keuntungan sebesar 17 juta dolar AS.

Peristiwa ini mengungkapkan kekurangan serius proyek dalam manajemen izin, penyimpanan kunci pribadi, dan menyoroti pentingnya memperbaiki sistem keamanan internal.

Mangga

Platform pertukaran terdesentralisasi Mango Markets mengalami serangan manipulasi pasar, dengan kerugian sekitar 1,15 juta dolar AS. Penyerang memanfaatkan kontrak berjangka dan oracle platform untuk meraih keuntungan dengan mengangkat harga token kecil MNGO.

Kasus ini menunjukkan bahwa proyek DeFi perlu mempertimbangkan berbagai situasi ekstrim saat merancang model bisnis, terutama dalam pengendalian risiko terhadap token dengan kapitalisasi pasar kecil.

Secara keseluruhan, pada tahun 2022, insiden keamanan DeFi sering terjadi, mengungkap berbagai risiko keamanan terkait kontrak pintar, jembatan lintas rantai, dan mekanisme tata kelola. Pihak proyek perlu meningkatkan kesadaran keamanan dan memperbaiki sistem manajemen risiko; pengguna harus berhati-hati dalam berpartisipasi dan memahami risiko dengan baik.