Tinjauan Keamanan Keuangan Desentralisasi: Analisis dan Pelajaran dari Peristiwa Besar 2022

Pada tahun 2022, kejadian keamanan blockchain sering terjadi, dengan lebih dari 300 insiden tercatat dan jumlah kerugian mencapai 4,3 miliar USD. Artikel ini akan menganalisis secara rinci delapan kasus khas, di mana sebagian besar kerugian melebihi 100 juta USD, yang memiliki arti penting sebagai referensi.

Peristiwa Jembatan Ronin

Pada 23 Maret 2022, jaringan sisi Axie Infinity, Ronin Network, diserang, dengan kerugian 173.6 ribu ETH dan 25.5 juta USD, total sekitar 590 juta USD. Pelaku serangan diduga merupakan organisasi peretas asal Korea Utara, Lazarus.

Penyerang menghubungi karyawan perusahaan Sky Mavis melalui metode rekayasa sosial, setelah menyisipkan perangkat lunak berbahaya, mereka mengendalikan 5 node verifikasi, dan akhirnya menyelesaikan serangan. Ini mengungkapkan bahwa kesadaran keamanan karyawan perusahaan lemah, dan ada celah dalam sistem keamanan internal.

Peristiwa ini merupakan contoh serangan APT( yang bersifat terus menerus dan canggih ). Kelompok hacker tradisional dan kekuatan tingkat negara telah mulai beralih untuk menyerang proyek blockchain, secara langsung memperoleh keuntungan ekonomi.

Peristiwa Wormhole

Jembatan lintas rantai Wormhole diserang, mengalami kerugian sekitar 120.000 ETH. Penyebab utamanya adalah adanya cacat dalam kode verifikasi tanda tangan pada kontrak inti di sisi Solana, yang memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus.

Ini terutama adalah masalah di tingkat kode, menggunakan beberapa fungsi yang sudah usang. Pengembang harus segera memperbarui dengan menggunakan versi terbaru, untuk menghindari masalah serupa.

Peristiwa Jembatan Nomad

Protokol lintas rantai Nomad mengalami kesalahan dalam pengaturan akar terpercaya saat inisialisasi kontrak jembatan, dan saat modifikasi, akar lama tidak dinyatakan tidak berlaku, yang memungkinkan penyerang untuk membangun pesan sembarang untuk mengekstrak dana, dengan kerugian lebih dari 190 juta dolar.

Ini adalah contoh kesalahan inisialisasi kontrak yang khas. Setelah ditemukan, siapa pun dapat memutar ulang transaksi yang valid untuk mendapatkan keuntungan. Banyak robot MEV terlibat dalam perebutan, menjadikannya "perang berebut uang".

Meskipun kode sumber terbuka transparan, itu juga membuat penyerang lebih mudah menemukan kerentanan. Pihak proyek harus memperkuat audit kode untuk memastikan kebenaran tahap kunci seperti inisialisasi.

Peristiwa Beanstalk

Proyek stablecoin algoritma Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 182 juta dolar AS. Penyebab utamanya adalah tidak adanya jeda waktu antara pemungutan suara dan pelaksanaan proposal, sehingga penyerang dapat segera melaksanakan proposal jahat.

Penyerang membeli token lebih awal untuk mendapatkan hak usulan, memperoleh banyak hak suara melalui pinjaman kilat, dan menyelesaikan arbitrase melalui usulan jahat. Ini mengungkapkan risiko dari pemerintahan yang sepenuhnya terdesentralisasi.

Proyek harus menetapkan mekanisme tinjauan proposal, periode penguncian suara, dan penguncian waktu pelaksanaan serta langkah-langkah lain untuk mencegah risiko serupa.

Peristiwa Wintermute

Market maker Wintermute menggunakan alat sumber terbuka untuk menghasilkan alamat nomor cantik, menyebabkan kunci pribadi pemilik kontrak diretas, dengan kerugian sekitar 1,6 miliar dolar.

Saat menggunakan alat sumber terbuka, harus mengevaluasi risiko potensial secara menyeluruh. Alamat kunci harus dihasilkan dengan cara yang lebih aman, menghindari penggunaan alat pihak ketiga yang tidak dapat diandalkan.

Peristiwa Jembatan Harmony

Jembatan lintas rantai Harmony Horizon diserang, kerugian melebihi 100 juta USD. Menurut analisis, kemungkinan juga dilakukan oleh kelompok peretas Korea Utara, metode serangan mirip dengan Ronin Bridge.

Jembatan lintas rantai sebagai infrastruktur dasar yang menghubungkan berbagai rantai, selalu menjadi target serangan utama para hacker. Pihak proyek harus memperkuat perlindungan keamanan dan meningkatkan ambang serangan.

Peristiwa Ankr

Kunci privat pemilik kontrak Ankr bocor, menyebabkan hacker mencetak banyak token dan menarik 5 juta USDC. Kemudian muncul arbitrageur yang memanfaatkan keterlambatan oracle untuk arbitrase sebesar 17 juta dolar.

Ini mengungkapkan adanya masalah serius dalam manajemen keamanan internal Ankr: kunci privat yang penting dikuasai oleh individu, dan karyawan yang telah resign masih dapat menggunakannya. Proyek harus membangun sistem manajemen kunci yang baik, menggunakan mekanisme yang lebih aman seperti multisig.

Peristiwa Mango

Penyerang memanfaatkan celah kurangnya likuiditas dari koin kecil di platform Mango, meraup keuntungan sebesar 115 juta USD dengan memanipulasi harga. Ini lebih merupakan celah dalam model bisnis daripada celah keamanan.

Pengembang proyek harus mempertimbangkan berbagai skenario ekstrem dan menyempurnakan langkah-langkah pengendalian risiko. Pengguna yang berpartisipasi dalam proyek juga harus secara menyeluruh mengevaluasi risiko, tidak hanya melihat keuntungan dan mengabaikan keamanan.

Singkatnya, seiring dengan semakin kompleksnya ekosistem Web3, ancaman keamanan juga semakin beragam. Pihak proyek harus membangun sistem keamanan yang lengkap, dan pengguna juga harus meningkatkan kesadaran keamanan, untuk bersama-sama menjaga perkembangan industri yang sehat.