Tinjauan Kasus Serangan Jembatan Lintas Rantai: 10 Kasus Besar dengan Total Kerugian 1,9 Miliar USD, 1,55 Miliar USD Telah Dipulihkan atau Diganti Rugi
Seiring dengan perkembangan ekosistem blockchain yang terus menerus, jembatan lintas rantai sebagai infrastruktur penting yang menghubungkan berbagai blockchain publik, keamanan jembatan ini sangat diperhatikan. Dalam beberapa tahun terakhir, beberapa insiden serangan jembatan lintas rantai telah menyebabkan kerugian dana yang besar, memicu diskusi luas di industri. Artikel ini akan meninjau 10 kasus serangan jembatan lintas rantai yang berdampak besar, merangkum pelajaran dan wawasan yang didapat.
ChainSwap: Kehilangan 8 juta dolar akibat dua serangan
Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan peretasan dalam waktu singkat 9 hari. Serangan pertama menyebabkan kerugian sekitar 800.000 dolar AS, sedangkan yang kedua mencapai 8 juta dolar AS, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Setelah diselidiki, penyerang memanfaatkan celah dalam protokol terkait validitas tanda tangan, yang memungkinkan mereka menyelesaikan transaksi menggunakan tanda tangan yang dihasilkan sendiri. Karena kerugian utama adalah token tata kelola dari pihak proyek, beberapa proyek yang terkena dampak memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengkompensasi kerugian pemegang dan LP.
Poly Network: 6,1 juta dolar AS berhasil dipulihkan setelah dicuri
Pada 10 Agustus 2021, Poly Network mengalami serangan DeFi terbesar pada saat itu. Peretas mencuri sekitar 610 juta dolar aset di tiga jaringan: Ethereum, Binance Smart Chain, dan Polygon.
Serangan terutama memanfaatkan celah dalam logika manajemen hak kontrak Poly Network. Peretas berhasil mengganti Keeper pada rantai target dengan alamat yang mereka kendalikan, sehingga mendapatkan hak tanda tangan untuk pemindahan aset.
Meskipun peretas merencanakan serangan dengan cermat, mereka akhirnya memilih untuk mengembalikan semua dana yang dicuri. Poly Network menyebutnya "peretas topi putih" dan menawarkan untuk mempekerjakan pihak tersebut sebagai kepala penasihat keamanan. Peristiwa ini menyoroti tantangan keamanan besar yang dihadapi oleh jembatan lintas rantai.
Multichain: Kerugian sebesar 6 juta USD akibat celah keamanan telah dibayar
Pada Januari 2022, Multichain menemukan kerentanan penting yang mempengaruhi berbagai token. Meskipun kerentanan tersebut telah diperbaiki, masih ada beberapa pengguna yang mengalami kerugian karena tidak segera mencabut otorisasi. Menurut laporan resmi, ada total 7962 alamat pengguna yang terkena dampak, dengan total sekitar 6,04 juta dolar AS aset yang dicuri.
Tim keamanan menganalisis dan menunjukkan bahwa serangan berasal dari kelalaian Multichain dalam memverifikasi keabsahan Token yang dikirimkan oleh pengguna. Tim telah memulihkan hampir 50% dari dana yang dicuri dan telah mengusulkan rencana kompensasi, tetapi terbatas hanya untuk pengguna yang mencabut otorisasi dalam jangka waktu yang ditentukan.
QBridge: Kerugian 80 juta dolar hanya mengimbangi 2%
Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, mengakibatkan kerugian sekitar 80 juta USD. Penyerang memanfaatkan celah logika dalam pengolahan transfer token whitelist di QBridge, berhasil mencetak banyak token xETH secara tidak sah di BSC, dan menggunakan token palsu ini untuk meminjam aset lain dari Qubit.
Saat ini, proyek Qubit hampir terhenti, 98% dana yang dicuri belum mendapat kompensasi, mencerminkan realitas bahwa beberapa proyek sulit untuk pulih setelah mengalami kecelakaan keamanan yang signifikan.
Meter.io: Kerugian 4,4 juta dolar, berjanji untuk membayar dengan pendapatan masa depan
Pada bulan Februari 2022, Meter Passport cross-chain bridges diserang, mengakibatkan kerugian sebesar 4,4 juta dolar AS. Pihak resmi mengakui bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode dasar, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH.
Meter awalnya merencanakan untuk mengganti kerugian pengguna dengan token MTRG, namun setelah pemungutan suara komunitas, diputuskan untuk menerbitkan token baru PASS sebagai ganti rugi, dan berjanji untuk membeli kembali dengan pendapatan di masa depan. Namun, hingga saat ini belum ada tindakan beli kembali yang substansial.
Ronin: 620 juta dolar AS dicuri, telah dibayar penuh
Pada Maret 2022, rantai Ronin di belakang Axie Infinity mengalami pencurian besar-besaran sebesar 620 juta dolar AS. Serangan ini menyoroti bahaya rekayasa sosial dalam keamanan siber. Penyerang berhasil menyusup ke sistem Sky Mavis melalui skema perekrutan palsu yang direncanakan dengan cermat, akhirnya mengendalikan sebagian besar node validasi di jaringan Ronin.
Meskipun dana yang dicuri tidak berhasil dipulihkan, Sky Mavis berhasil memberikan kompensasi penuh kepada pengguna melalui pendanaan tambahan sebesar 150 juta dolar. Peristiwa ini juga mendorong peningkatan menyeluruh pada mekanisme keamanan jaringan Ronin.
Wormhole: Kerugian 326 juta dolar AS, segera diperbaiki
Pada bulan Februari 2022, protokol lintas rantai Wormhole mengalami serangan hacker, kehilangan sekitar 120.000 ETH senilai 326 juta dolar AS. Penyerang memanfaatkan kerentanan verifikasi tanda tangan dalam kontrak sisi Solana, berhasil mencetak banyak whETH palsu.
Perlu dicatat bahwa Jump Crypto dengan cepat menginvestasikan 120.000 ETH, menutupi kekurangan dana Wormhole, sehingga protokol dapat dengan cepat melanjutkan operasinya. Tindakan ini menunjukkan pentingnya dukungan dana yang kuat dalam penanganan krisis.
EvoDeFi: Kerugian puluhan juta dolar belum ditangani
Pada bulan Juni 2022, DEX ValleySwap dalam ekosistem Oasis mengalami penyimpangan serius dari USDT, yang menyebabkan perkiraan kerugian mencapai puluhan juta dolar. Masalah ini berasal dari kurangnya likuiditas di rantai sumber pada jembatan silang (cross-chain bridges) yang digunakan, EVODeFi.
Sayangnya, peristiwa ini hingga saat ini belum ditangani dengan baik. Pihak terkait dengan cepat menghindar dari tanggung jawab, pihak proyek sebenarnya dalam keadaan hilang kontak, dan kerugian pengguna tidak dapat diganti rugi. Ini menyoroti kurangnya rasa tanggung jawab dan kemampuan untuk menangani krisis serius oleh beberapa proyek.
Horizon: Hampir 100 juta dolar dicuri, rencana kompensasi masih dalam diskusi
Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian sekitar 100 juta dolar. Investigasi menunjukkan bahwa serangan tersebut kemungkinan disebabkan oleh kebocoran kunci pribadi, yang mengekspos risiko potensial dari mekanisme tanda tangan ganda.
Harmony pernah mengusulkan untuk secara bertahap mengkompensasi pengguna dalam 3 tahun melalui penerbitan token baru, tetapi gagal mendapatkan dukungan konsensus dari komunitas. Saat ini, rencana kompensasi baru masih dalam proses penyusunan, mencerminkan tantangan dalam menyeimbangkan kepentingan berbagai pihak dan menjaga stabilitas ekosistem.
Nomad: $190 juta hilang, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, jembatan lintas rantai Nomad mengalami kehilangan dana sekitar 190 juta USD akibat kesalahan pemrograman yang sederhana. Penyerang memanfaatkan kesalahan pengaturan parameter kunci dalam pembaruan kontrak untuk melakukan serangan yang memungkinkan mereka menarik dana tanpa perlu melakukan operasi yang rumit.
Peristiwa ini melibatkan sejumlah besar alamat, termasuk di dalamnya hacker topi putih. Saat ini, sebagian dana telah dijanjikan untuk dikembalikan, tetapi rencana kompensasi yang spesifik masih belum ditentukan. Ini menyoroti pentingnya audit kode dan manajemen upgrade dalam proyek DeFi.
Ringkasan dan Pelajaran
Merefleksikan peristiwa serangan jembatan lintas rantai ini, kita dapat menarik beberapa pelajaran penting berikut:
Jembatan lintas rantai sebagai target bernilai tinggi, selalu menghadapi ancaman keamanan yang besar. Bahkan proyek dengan peringkat likuiditas tinggi pun tidak luput dari serangan, pengguna perlu tetap waspada saat menggunakannya.
Latar belakang tim proyek dan kekuatan finansial sangat penting untuk penanganan setelah insiden. Tim yang kuat seringkali dapat lebih cepat untuk memulihkan aset atau melakukan kompensasi, seperti yang ditunjukkan oleh kasus Poly Network, Ronin, dan Wormhole.
Pemantauan waktu nyata dan mekanisme respons cepat adalah kunci untuk mencegah serangan. Beberapa proyek seperti Hop Protocol dan StarGate berhasil mencegah serangan potensial dengan mendeteksi dan menangani aktivitas mencurigakan tepat waktu.
Pentingnya audit kode, pengujian keamanan, dan manajemen pembaruan tidak boleh diabaikan. Banyak serangan berasal dari kesalahan pemrograman sederhana atau celah logika, yang menunjukkan perlunya langkah-langkah keamanan yang komprehensif dan ketat.
Tata kelola komunitas memainkan peran penting dalam penanganan krisis. Proses penyusunan rencana kompensasi yang transparan dan adil membantu menjaga kepercayaan pengguna dan pengembangan jangka panjang proyek.
Seiring dengan perkembangan teknologi cross-chain yang terus berlanjut, keamanan akan terus menjadi isu inti di bidang ini. Pihak proyek, pengembang, dan pengguna perlu tetap waspada untuk bersama-sama membangun ekosistem cross-chain yang lebih aman dan dapat diandalkan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
23 Suka
Hadiah
23
4
Bagikan
Komentar
0/400
CryptoComedian
· 08-05 08:35
Hacker: Serangan dua kali dalam sembilan hari, ini adalah kebahagiaan ganda.
Lihat AsliBalas0
OvertimeSquid
· 08-03 14:53
Mengapa eksploitasi kerentanan semua terlihat begitu mirip? Ubah skrip dan salin-tempel.
Lihat AsliBalas0
FUD_Whisperer
· 08-03 14:52
Risiko terbesar dalam keamanan adalah orang yang berteknologi.
10 Kasus Serangan Jembatan Kross-Chain: Analisis Mendalam tentang Pelajaran dan Pencerahan di Balik Kerugian 1,9 Miliar Dolar
Tinjauan Kasus Serangan Jembatan Lintas Rantai: 10 Kasus Besar dengan Total Kerugian 1,9 Miliar USD, 1,55 Miliar USD Telah Dipulihkan atau Diganti Rugi
Seiring dengan perkembangan ekosistem blockchain yang terus menerus, jembatan lintas rantai sebagai infrastruktur penting yang menghubungkan berbagai blockchain publik, keamanan jembatan ini sangat diperhatikan. Dalam beberapa tahun terakhir, beberapa insiden serangan jembatan lintas rantai telah menyebabkan kerugian dana yang besar, memicu diskusi luas di industri. Artikel ini akan meninjau 10 kasus serangan jembatan lintas rantai yang berdampak besar, merangkum pelajaran dan wawasan yang didapat.
ChainSwap: Kehilangan 8 juta dolar akibat dua serangan
Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan peretasan dalam waktu singkat 9 hari. Serangan pertama menyebabkan kerugian sekitar 800.000 dolar AS, sedangkan yang kedua mencapai 8 juta dolar AS, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Setelah diselidiki, penyerang memanfaatkan celah dalam protokol terkait validitas tanda tangan, yang memungkinkan mereka menyelesaikan transaksi menggunakan tanda tangan yang dihasilkan sendiri. Karena kerugian utama adalah token tata kelola dari pihak proyek, beberapa proyek yang terkena dampak memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengkompensasi kerugian pemegang dan LP.
Poly Network: 6,1 juta dolar AS berhasil dipulihkan setelah dicuri
Pada 10 Agustus 2021, Poly Network mengalami serangan DeFi terbesar pada saat itu. Peretas mencuri sekitar 610 juta dolar aset di tiga jaringan: Ethereum, Binance Smart Chain, dan Polygon.
Serangan terutama memanfaatkan celah dalam logika manajemen hak kontrak Poly Network. Peretas berhasil mengganti Keeper pada rantai target dengan alamat yang mereka kendalikan, sehingga mendapatkan hak tanda tangan untuk pemindahan aset.
Meskipun peretas merencanakan serangan dengan cermat, mereka akhirnya memilih untuk mengembalikan semua dana yang dicuri. Poly Network menyebutnya "peretas topi putih" dan menawarkan untuk mempekerjakan pihak tersebut sebagai kepala penasihat keamanan. Peristiwa ini menyoroti tantangan keamanan besar yang dihadapi oleh jembatan lintas rantai.
Multichain: Kerugian sebesar 6 juta USD akibat celah keamanan telah dibayar
Pada Januari 2022, Multichain menemukan kerentanan penting yang mempengaruhi berbagai token. Meskipun kerentanan tersebut telah diperbaiki, masih ada beberapa pengguna yang mengalami kerugian karena tidak segera mencabut otorisasi. Menurut laporan resmi, ada total 7962 alamat pengguna yang terkena dampak, dengan total sekitar 6,04 juta dolar AS aset yang dicuri.
Tim keamanan menganalisis dan menunjukkan bahwa serangan berasal dari kelalaian Multichain dalam memverifikasi keabsahan Token yang dikirimkan oleh pengguna. Tim telah memulihkan hampir 50% dari dana yang dicuri dan telah mengusulkan rencana kompensasi, tetapi terbatas hanya untuk pengguna yang mencabut otorisasi dalam jangka waktu yang ditentukan.
QBridge: Kerugian 80 juta dolar hanya mengimbangi 2%
Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, mengakibatkan kerugian sekitar 80 juta USD. Penyerang memanfaatkan celah logika dalam pengolahan transfer token whitelist di QBridge, berhasil mencetak banyak token xETH secara tidak sah di BSC, dan menggunakan token palsu ini untuk meminjam aset lain dari Qubit.
Saat ini, proyek Qubit hampir terhenti, 98% dana yang dicuri belum mendapat kompensasi, mencerminkan realitas bahwa beberapa proyek sulit untuk pulih setelah mengalami kecelakaan keamanan yang signifikan.
Meter.io: Kerugian 4,4 juta dolar, berjanji untuk membayar dengan pendapatan masa depan
Pada bulan Februari 2022, Meter Passport cross-chain bridges diserang, mengakibatkan kerugian sebesar 4,4 juta dolar AS. Pihak resmi mengakui bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode dasar, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH.
Meter awalnya merencanakan untuk mengganti kerugian pengguna dengan token MTRG, namun setelah pemungutan suara komunitas, diputuskan untuk menerbitkan token baru PASS sebagai ganti rugi, dan berjanji untuk membeli kembali dengan pendapatan di masa depan. Namun, hingga saat ini belum ada tindakan beli kembali yang substansial.
Ronin: 620 juta dolar AS dicuri, telah dibayar penuh
Pada Maret 2022, rantai Ronin di belakang Axie Infinity mengalami pencurian besar-besaran sebesar 620 juta dolar AS. Serangan ini menyoroti bahaya rekayasa sosial dalam keamanan siber. Penyerang berhasil menyusup ke sistem Sky Mavis melalui skema perekrutan palsu yang direncanakan dengan cermat, akhirnya mengendalikan sebagian besar node validasi di jaringan Ronin.
Meskipun dana yang dicuri tidak berhasil dipulihkan, Sky Mavis berhasil memberikan kompensasi penuh kepada pengguna melalui pendanaan tambahan sebesar 150 juta dolar. Peristiwa ini juga mendorong peningkatan menyeluruh pada mekanisme keamanan jaringan Ronin.
Wormhole: Kerugian 326 juta dolar AS, segera diperbaiki
Pada bulan Februari 2022, protokol lintas rantai Wormhole mengalami serangan hacker, kehilangan sekitar 120.000 ETH senilai 326 juta dolar AS. Penyerang memanfaatkan kerentanan verifikasi tanda tangan dalam kontrak sisi Solana, berhasil mencetak banyak whETH palsu.
Perlu dicatat bahwa Jump Crypto dengan cepat menginvestasikan 120.000 ETH, menutupi kekurangan dana Wormhole, sehingga protokol dapat dengan cepat melanjutkan operasinya. Tindakan ini menunjukkan pentingnya dukungan dana yang kuat dalam penanganan krisis.
EvoDeFi: Kerugian puluhan juta dolar belum ditangani
Pada bulan Juni 2022, DEX ValleySwap dalam ekosistem Oasis mengalami penyimpangan serius dari USDT, yang menyebabkan perkiraan kerugian mencapai puluhan juta dolar. Masalah ini berasal dari kurangnya likuiditas di rantai sumber pada jembatan silang (cross-chain bridges) yang digunakan, EVODeFi.
Sayangnya, peristiwa ini hingga saat ini belum ditangani dengan baik. Pihak terkait dengan cepat menghindar dari tanggung jawab, pihak proyek sebenarnya dalam keadaan hilang kontak, dan kerugian pengguna tidak dapat diganti rugi. Ini menyoroti kurangnya rasa tanggung jawab dan kemampuan untuk menangani krisis serius oleh beberapa proyek.
Horizon: Hampir 100 juta dolar dicuri, rencana kompensasi masih dalam diskusi
Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian sekitar 100 juta dolar. Investigasi menunjukkan bahwa serangan tersebut kemungkinan disebabkan oleh kebocoran kunci pribadi, yang mengekspos risiko potensial dari mekanisme tanda tangan ganda.
Harmony pernah mengusulkan untuk secara bertahap mengkompensasi pengguna dalam 3 tahun melalui penerbitan token baru, tetapi gagal mendapatkan dukungan konsensus dari komunitas. Saat ini, rencana kompensasi baru masih dalam proses penyusunan, mencerminkan tantangan dalam menyeimbangkan kepentingan berbagai pihak dan menjaga stabilitas ekosistem.
Nomad: $190 juta hilang, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, jembatan lintas rantai Nomad mengalami kehilangan dana sekitar 190 juta USD akibat kesalahan pemrograman yang sederhana. Penyerang memanfaatkan kesalahan pengaturan parameter kunci dalam pembaruan kontrak untuk melakukan serangan yang memungkinkan mereka menarik dana tanpa perlu melakukan operasi yang rumit.
Peristiwa ini melibatkan sejumlah besar alamat, termasuk di dalamnya hacker topi putih. Saat ini, sebagian dana telah dijanjikan untuk dikembalikan, tetapi rencana kompensasi yang spesifik masih belum ditentukan. Ini menyoroti pentingnya audit kode dan manajemen upgrade dalam proyek DeFi.
Ringkasan dan Pelajaran
Merefleksikan peristiwa serangan jembatan lintas rantai ini, kita dapat menarik beberapa pelajaran penting berikut:
Jembatan lintas rantai sebagai target bernilai tinggi, selalu menghadapi ancaman keamanan yang besar. Bahkan proyek dengan peringkat likuiditas tinggi pun tidak luput dari serangan, pengguna perlu tetap waspada saat menggunakannya.
Latar belakang tim proyek dan kekuatan finansial sangat penting untuk penanganan setelah insiden. Tim yang kuat seringkali dapat lebih cepat untuk memulihkan aset atau melakukan kompensasi, seperti yang ditunjukkan oleh kasus Poly Network, Ronin, dan Wormhole.
Pemantauan waktu nyata dan mekanisme respons cepat adalah kunci untuk mencegah serangan. Beberapa proyek seperti Hop Protocol dan StarGate berhasil mencegah serangan potensial dengan mendeteksi dan menangani aktivitas mencurigakan tepat waktu.
Pentingnya audit kode, pengujian keamanan, dan manajemen pembaruan tidak boleh diabaikan. Banyak serangan berasal dari kesalahan pemrograman sederhana atau celah logika, yang menunjukkan perlunya langkah-langkah keamanan yang komprehensif dan ketat.
Tata kelola komunitas memainkan peran penting dalam penanganan krisis. Proses penyusunan rencana kompensasi yang transparan dan adil membantu menjaga kepercayaan pengguna dan pengembangan jangka panjang proyek.
Seiring dengan perkembangan teknologi cross-chain yang terus berlanjut, keamanan akan terus menjadi isu inti di bidang ini. Pihak proyek, pengembang, dan pengguna perlu tetap waspada untuk bersama-sama membangun ekosistem cross-chain yang lebih aman dan dapat diandalkan.