Tinjauan Kejadian Keamanan Web3 2024: Analisis Sepuluh Kasus Serangan

Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius sambil melakukan inovasi teknologi dan ekspansi ekosistem. Menurut statistik, hingga akhir tahun, total kerugian di sektor Web3 akibat serangan peretas, penipuan phishing, dan proyek yang kabur mencapai 2,491 juta dolar AS. Peristiwa-peristiwa ini tidak hanya mengungkapkan cacat teknis dalam pengelolaan kunci pribadi, kontrak pintar, dan aspek lainnya, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan terpenting di Web3 tahun 2024, untuk memberikan pelajaran bagi industri dan lebih baik dalam menghadapi ancaman keamanan di masa depan.

1. DMM Bitcoin

Jumlah kerugian: 3,04 miliar dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada tanggal 31 Mei 2024, bursa cryptocurrency terkenal Jepang DMM Bitcoin mengalami serangan besar. Hacker memanfaatkan kunci pribadi yang bocor untuk langsung mentransfer bitcoin senilai lebih dari 300 juta dolar, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari sepuluh alamat yang berbeda. Peristiwa ini mengungkapkan celah serius dalam manajemen kunci pribadi dan perlindungan keamanan berlapis di bursa tersebut. Meskipun bursa telah mengambil langkah-langkah seperti pemantauan on-chain dan pembekuan dana, pekerjaan pelacakan menghadapi tantangan besar karena hacker menggunakan alat pencampur.

Pada akhir tahun, polisi Jepang mengonfirmasi bahwa insiden ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.

2. PlayDapp

Jumlah kerugian: 2,90 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada 9 Februari 2024, PlayDapp mengalami serangan serius. Hacker mencuri kunci privat untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan hacker gagal, hacker dalam waktu singkat mencetak 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Setelah sebagian token memasuki bursa, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci privat dan penanganan darurat.

3. Sebuah bursa kripto di India

Jumlah kerugian: 2,35 miliar dolar AS Metode Serangan: Serangan Jaringan dan Phishing

Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa kripto terbesar di India mengalami serangan yang terencana. Penyerang menggunakan metode rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan izin kontrak yang telah ditingkatkan untuk mentransfer aset dalam dompet. Kasus ini mengungkapkan potensi risiko pada dompet multi-tanda tangan dalam pengelolaan konfigurasi izin dan transparansi operasi, serta memicu pemikiran mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.

4. Gala Games

Jumlah kerugian: 216 juta dolar AS Metode Serangan: Kerentanan Kontrol Akses

Pada 20 Mei 2024, sebuah alamat istimewa dari Gala Games diretas. Penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dalam kontrak token. Selanjutnya, hacker menukarkan token yang diperbanyak secara bertahap menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker dan menempuh jalur hukum untuk memulihkan sebagian kerugian.

5. Dompet Pribadi Pendiri Bersama Ripple

Jumlah kerugian: 1,12 miliar dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada 31 Januari 2024, empat dompet pribadi Chris Larsen, salah satu pendiri Ripple, diretas, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah platform perdagangan berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.

6. Munchables

Jumlah kerugian: 62,5 juta dolar AS Metode Serangan: Serangan Rekayasa Sosial

Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang langka. Penyerang menyamar sebagai pengembang blockchain dan memperoleh kode inti serta kunci sensitif dengan penyamaran jangka panjang. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, hacker akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.

7. Sebuah bursa kripto di Turki

Jumlah Kerugian: 55 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki mengalami serangan kebocoran kunci privat, mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan suatu platform perdagangan, dana yang dicuri sebesar 5,3 juta dolar AS berhasil dibekukan, namun aset lainnya masih belum dapat dipulihkan. Peristiwa ini memperdalam kekhawatiran pasar terhadap pengelolaan kunci privat di bursa terpusat.

8. Radiant Capital

Jumlah kerugian: 53 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang batas rendah, hacker menguasai kunci privat dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya mengakibatkan pencurian 53 juta dolar. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig.

Perlu dicatat bahwa Radiant Capital sebelumnya telah kehilangan 4,5 juta dolar AS akibat celah kontrak, lebih dari 1900 ETH dicuri, yang menyoroti kurangnya perhatian proyek terhadap masalah keamanan.

9. Hedgey Finance

Jumlah Kerugian: 44,7 juta dolar AS Metode Serangan: Kerentanan Kontrak

Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua rantai yaitu Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Kejadian ini menunjukkan pentingnya audit kode, terutama dalam verifikasi ketat terhadap logika persetujuan token.

10. Sebuah platform perdagangan cryptocurrency

Jumlah Kerugian: 44,7 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada tanggal 19 September 2024, dompet panas dari sebuah platform perdagangan diretas oleh hacker, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa segera memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko dalam pengelolaan dompet panas di bursa terpusat, dan lebih lanjut mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.

Serangkaian insiden keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap insiden memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam pengembangan teknologi, standar manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan jaminan yang lebih dapat diandalkan bagi pengguna dan investor.