Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: 10 Kasus Serangan dengan Kerugian Lebih dari 1,9 Miliar Dolar
Dalam beberapa tahun terakhir, cross-chain bridges telah menjadi target populer serangan hacker. Karena banyak blockchain baru yang kekurangan aset mainstream, mereka perlu mendapatkan aset melalui cross-chain bridges dari blockchain mapan seperti Ethereum, yang menjadikan cross-chain bridges sebagai pusat penting untuk arus dana. Namun, insiden keamanan yang sering terjadi juga mengungkapkan kelemahan cross-chain bridges. Artikel ini akan meninjau 10 kejadian serangan besar pada cross-chain bridges, merangkum pelajaran yang dapat diambil, dan memberikan referensi untuk perlindungan keamanan di masa depan.
ChainSwap: Kerugian sekitar 8,8 juta dolar akibat dua serangan
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu hanya 9 hari. Serangan pertama menyebabkan kerugian sekitar 800.000 dolar AS, sedangkan serangan kedua jauh lebih parah, dengan kerugian mencapai 8 juta dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain.
Survei menunjukkan bahwa penyerang memanfaatkan celah dalam protokol saat memverifikasi keabsahan tanda tangan. Untuk mengimbangi kerugian, ChainSwap dan beberapa proyek yang terdampak memilih untuk melakukan snapshot dan menerbitkan kembali token.
Jaringan Poly: $610 juta aset dicuri dan semuanya berhasil dipulihkan
Pada bulan Agustus 2021, protokol lintas rantai Poly Network mengalami serangan besar-besaran yang melibatkan dana hingga 610 juta dolar. Penyerang memanfaatkan celah dalam logika manajemen hak kontrak, berhasil mengganti alamat validator rantai tujuan, sehingga memindahkan sejumlah besar aset.
Meskipun metode serangan sangat canggih, hacker akhirnya memilih untuk mengembalikan semua dana yang dicuri. Poly Network menyebutnya sebagai "white hat hacker", bahkan mengundangnya untuk menjabat sebagai kepala penasihat keamanan. Meskipun kejadian ini berakhir dengan penyelesaian, namun juga mengungkapkan risiko besar dalam manajemen hak akses pada cross-chain bridges.
Multichain: Kerugian 6 juta dolar AS akibat celah keamanan telah dibayar kembali
Pada Januari 2022, Multichain menemukan kerentanan penting yang mempengaruhi berbagai token. Meskipun kerentanan tersebut diperbaiki tepat waktu, sekitar 6,04 juta dolar aset masih dicuri.
Kelemahan berasal dari kelalaian Multichain dalam memverifikasi keabsahan token yang dimasukkan oleh pengguna, tidak mempertimbangkan bahwa tidak semua token mengimplementasikan fungsi tertentu. Tim dengan cepat mengambil tindakan, memulihkan hampir 50% dari dana yang dicuri, dan memberikan kompensasi kepada pengguna yang telah mencabut otorisasi melalui proposal.
QBridge: Kerugian 80 juta dolar hanya diganti 2%
Pada akhir Januari 2022, jembatan lintas rantai Qubit, QBridge, diserang, menyebabkan kerugian sekitar 80 juta dolar. Penyerang memanfaatkan celah dalam QBridge saat memproses transfer token dalam daftar putih, berhasil mencetak sejumlah besar token palsu di BSC.
Peristiwa ini menyebabkan platform Qubit hampir berhenti beroperasi, saat ini masih ada 98% dana yang dicuri belum mendapatkan kompensasi, menyoroti kerentanan beberapa proyek ketika menghadapi insiden keamanan yang signifikan.
Meter.io: Kerugian 4,4 juta dolar AS, berjanji untuk membayar dengan pendapatan masa depan
Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Masalahnya terletak pada "asumsi kepercayaan yang salah" dalam kode dasar, yang memungkinkan penyerang untuk memalsukan transfer token.
Tim Meter awalnya mengusulkan untuk menggunakan token MTRG sebagai kompensasi, tetapi kemudian memutuskan untuk menerbitkan token PASS baru. Rencananya adalah menggunakan pendapatan di masa depan untuk membeli kembali token-token ini, meskipun belum ada pembelian kembali yang terjadi. Pendekatan ini menunjukkan tantangan dalam memberikan kompensasi kepada pengguna setelah pelanggaran keamanan.
Ronin: Kasus pencurian $620 juta telah dibayar sepenuhnya
Pada Maret 2022, rantai Ronin di balik Axie Infinity mengalami insiden keamanan besar, dengan kerugian mencapai 620 juta dolar AS. Serangan ini memanfaatkan teknik rekayasa sosial, dengan menyusup ke dalam sistem Sky Mavis melalui metode perekrutan perusahaan yang menyamar.
Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis dengan cepat mengumpulkan 150 juta USD untuk kompensasi pengguna. Kasus ini menunjukkan pentingnya dukungan komunitas yang kuat dan kemampuan respons cepat dalam penanganan krisis.
Wormhole: Kerugian 326 juta dolar AS mendapatkan kompensasi instan
Pada bulan Februari 2022, protokol lintas rantai Wormhole mengalami serangan, dengan kerugian sekitar 3,26 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak sisi Solana, berhasil mencetak sejumlah besar token palsu.
Jump Crypto dengan cepat menginvestasikan 120.000 ETH, sepenuhnya mengganti kerugian Wormhole. Kasus ini menunjukkan betapa pentingnya dukungan dana yang kuat untuk menjaga kepercayaan pengguna.
EvoDeFi: Diperkirakan kerugian mencapai puluhan juta dolar, hingga kini belum teratasi
Pada bulan Juni 2022, ValleySwap DEX dalam ekosistem Oasis mengalami fenomena depegging yang parah untuk USDT, yang mengakibatkan kerugian besar bagi banyak pengguna. Masalah ini berasal dari kurangnya likuiditas di rantai sumber pada jembatan lintas rantai yang digunakan, EVODeFi.
Peristiwa ini menyoroti pentingnya manajemen likuiditas pada cross-chain bridges, serta perlunya melakukan due diligence yang memadai saat memilih mitra.
Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam tahap penyusunan
Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian sekitar 100 juta dolar. Penyidikan menunjukkan bahwa serangan tersebut mungkin disebabkan oleh kebocoran kunci pribadi.
Harmony awalnya mengusulkan pencetakan token untuk kompensasi, tetapi komunitas menolak pendekatan ini. Diskusi yang sedang berlangsung mengenai kompensasi menyoroti kompleksitas menyeimbangkan kepentingan pengguna dengan keberlanjutan proyek setelah insiden keamanan besar.
Nomad: 190 juta dolar AS dicuri, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, Nomad cross-chain bridges mengalami serangan, dengan kerugian mencapai 190 juta dolar AS. Serangan tersebut berasal dari kesalahan konfigurasi dalam pemutakhiran kontrak, yang memungkinkan siapa saja untuk menarik dana dari jembatan.
Meskipun kerugian besar, beberapa hacker topi putih menyatakan bersedia mengembalikan dana, yang memberikan harapan untuk pemulihan aset. Peristiwa ini menekankan pentingnya audit keamanan yang ketat saat melakukan pembaruan sistem.
Ringkasan
Merefleksikan kecelakaan keamanan pada jembatan lintas rantai ini, kita dapat menarik beberapa kesimpulan berikut:
Jembatan lintas rantai adalah bagian berisiko tinggi dalam ekosistem DeFi, bahkan proyek teratas pun mungkin mengalami masalah keamanan.
Latar belakang tim pengembang yang kuat dan dukungan dana yang cukup sangat penting untuk menangani insiden keamanan dengan cepat.
Mekanisme pemantauan real-time dan respons cepat dapat secara efektif mengurangi kerugian.
Kepercayaan komunitas dan komunikasi yang transparan memainkan peran penting dalam penanganan krisis.
Audit keamanan dan tinjauan kode harus menjadi hal yang biasa, terutama saat peningkatan sistem.
Mekanisme seperti desentralisasi dan multi-tanda tangan dapat meningkatkan keamanan sistem, tetapi perlu berhati-hati saat menerapkannya.
Pengguna harus berhati-hati dalam memilih jembatan lintas rantai, dengan mempertimbangkan terlebih dahulu proyek yang memiliki catatan baik dan dukungan yang kuat.
Dengan terus berkembangnya teknologi cross-chain, masalah keamanan akan tetap menjadi tantangan utama yang dihadapi di bidang ini. Pengembang, pengguna, dan seluruh industri perlu tetap waspada dan terus meningkatkan langkah-langkah keamanan untuk membangun ekosistem cross-chain yang lebih aman dan dapat diandalkan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Tinjauan Keamanan Jembatan Lintas Rantai: 10 Kasus Serangan Mengakibatkan Kerugian Lebih dari 1,9 Miliar Dolar AS
Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: 10 Kasus Serangan dengan Kerugian Lebih dari 1,9 Miliar Dolar
Dalam beberapa tahun terakhir, cross-chain bridges telah menjadi target populer serangan hacker. Karena banyak blockchain baru yang kekurangan aset mainstream, mereka perlu mendapatkan aset melalui cross-chain bridges dari blockchain mapan seperti Ethereum, yang menjadikan cross-chain bridges sebagai pusat penting untuk arus dana. Namun, insiden keamanan yang sering terjadi juga mengungkapkan kelemahan cross-chain bridges. Artikel ini akan meninjau 10 kejadian serangan besar pada cross-chain bridges, merangkum pelajaran yang dapat diambil, dan memberikan referensi untuk perlindungan keamanan di masa depan.
ChainSwap: Kerugian sekitar 8,8 juta dolar akibat dua serangan
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu hanya 9 hari. Serangan pertama menyebabkan kerugian sekitar 800.000 dolar AS, sedangkan serangan kedua jauh lebih parah, dengan kerugian mencapai 8 juta dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain.
Survei menunjukkan bahwa penyerang memanfaatkan celah dalam protokol saat memverifikasi keabsahan tanda tangan. Untuk mengimbangi kerugian, ChainSwap dan beberapa proyek yang terdampak memilih untuk melakukan snapshot dan menerbitkan kembali token.
Jaringan Poly: $610 juta aset dicuri dan semuanya berhasil dipulihkan
Pada bulan Agustus 2021, protokol lintas rantai Poly Network mengalami serangan besar-besaran yang melibatkan dana hingga 610 juta dolar. Penyerang memanfaatkan celah dalam logika manajemen hak kontrak, berhasil mengganti alamat validator rantai tujuan, sehingga memindahkan sejumlah besar aset.
Meskipun metode serangan sangat canggih, hacker akhirnya memilih untuk mengembalikan semua dana yang dicuri. Poly Network menyebutnya sebagai "white hat hacker", bahkan mengundangnya untuk menjabat sebagai kepala penasihat keamanan. Meskipun kejadian ini berakhir dengan penyelesaian, namun juga mengungkapkan risiko besar dalam manajemen hak akses pada cross-chain bridges.
Multichain: Kerugian 6 juta dolar AS akibat celah keamanan telah dibayar kembali
Pada Januari 2022, Multichain menemukan kerentanan penting yang mempengaruhi berbagai token. Meskipun kerentanan tersebut diperbaiki tepat waktu, sekitar 6,04 juta dolar aset masih dicuri.
Kelemahan berasal dari kelalaian Multichain dalam memverifikasi keabsahan token yang dimasukkan oleh pengguna, tidak mempertimbangkan bahwa tidak semua token mengimplementasikan fungsi tertentu. Tim dengan cepat mengambil tindakan, memulihkan hampir 50% dari dana yang dicuri, dan memberikan kompensasi kepada pengguna yang telah mencabut otorisasi melalui proposal.
QBridge: Kerugian 80 juta dolar hanya diganti 2%
Pada akhir Januari 2022, jembatan lintas rantai Qubit, QBridge, diserang, menyebabkan kerugian sekitar 80 juta dolar. Penyerang memanfaatkan celah dalam QBridge saat memproses transfer token dalam daftar putih, berhasil mencetak sejumlah besar token palsu di BSC.
Peristiwa ini menyebabkan platform Qubit hampir berhenti beroperasi, saat ini masih ada 98% dana yang dicuri belum mendapatkan kompensasi, menyoroti kerentanan beberapa proyek ketika menghadapi insiden keamanan yang signifikan.
Meter.io: Kerugian 4,4 juta dolar AS, berjanji untuk membayar dengan pendapatan masa depan
Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Masalahnya terletak pada "asumsi kepercayaan yang salah" dalam kode dasar, yang memungkinkan penyerang untuk memalsukan transfer token.
Tim Meter awalnya mengusulkan untuk menggunakan token MTRG sebagai kompensasi, tetapi kemudian memutuskan untuk menerbitkan token PASS baru. Rencananya adalah menggunakan pendapatan di masa depan untuk membeli kembali token-token ini, meskipun belum ada pembelian kembali yang terjadi. Pendekatan ini menunjukkan tantangan dalam memberikan kompensasi kepada pengguna setelah pelanggaran keamanan.
Ronin: Kasus pencurian $620 juta telah dibayar sepenuhnya
Pada Maret 2022, rantai Ronin di balik Axie Infinity mengalami insiden keamanan besar, dengan kerugian mencapai 620 juta dolar AS. Serangan ini memanfaatkan teknik rekayasa sosial, dengan menyusup ke dalam sistem Sky Mavis melalui metode perekrutan perusahaan yang menyamar.
Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis dengan cepat mengumpulkan 150 juta USD untuk kompensasi pengguna. Kasus ini menunjukkan pentingnya dukungan komunitas yang kuat dan kemampuan respons cepat dalam penanganan krisis.
Wormhole: Kerugian 326 juta dolar AS mendapatkan kompensasi instan
Pada bulan Februari 2022, protokol lintas rantai Wormhole mengalami serangan, dengan kerugian sekitar 3,26 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak sisi Solana, berhasil mencetak sejumlah besar token palsu.
Jump Crypto dengan cepat menginvestasikan 120.000 ETH, sepenuhnya mengganti kerugian Wormhole. Kasus ini menunjukkan betapa pentingnya dukungan dana yang kuat untuk menjaga kepercayaan pengguna.
EvoDeFi: Diperkirakan kerugian mencapai puluhan juta dolar, hingga kini belum teratasi
Pada bulan Juni 2022, ValleySwap DEX dalam ekosistem Oasis mengalami fenomena depegging yang parah untuk USDT, yang mengakibatkan kerugian besar bagi banyak pengguna. Masalah ini berasal dari kurangnya likuiditas di rantai sumber pada jembatan lintas rantai yang digunakan, EVODeFi.
Peristiwa ini menyoroti pentingnya manajemen likuiditas pada cross-chain bridges, serta perlunya melakukan due diligence yang memadai saat memilih mitra.
Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam tahap penyusunan
Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian sekitar 100 juta dolar. Penyidikan menunjukkan bahwa serangan tersebut mungkin disebabkan oleh kebocoran kunci pribadi.
Harmony awalnya mengusulkan pencetakan token untuk kompensasi, tetapi komunitas menolak pendekatan ini. Diskusi yang sedang berlangsung mengenai kompensasi menyoroti kompleksitas menyeimbangkan kepentingan pengguna dengan keberlanjutan proyek setelah insiden keamanan besar.
Nomad: 190 juta dolar AS dicuri, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, Nomad cross-chain bridges mengalami serangan, dengan kerugian mencapai 190 juta dolar AS. Serangan tersebut berasal dari kesalahan konfigurasi dalam pemutakhiran kontrak, yang memungkinkan siapa saja untuk menarik dana dari jembatan.
Meskipun kerugian besar, beberapa hacker topi putih menyatakan bersedia mengembalikan dana, yang memberikan harapan untuk pemulihan aset. Peristiwa ini menekankan pentingnya audit keamanan yang ketat saat melakukan pembaruan sistem.
Ringkasan
Merefleksikan kecelakaan keamanan pada jembatan lintas rantai ini, kita dapat menarik beberapa kesimpulan berikut:
Jembatan lintas rantai adalah bagian berisiko tinggi dalam ekosistem DeFi, bahkan proyek teratas pun mungkin mengalami masalah keamanan.
Latar belakang tim pengembang yang kuat dan dukungan dana yang cukup sangat penting untuk menangani insiden keamanan dengan cepat.
Mekanisme pemantauan real-time dan respons cepat dapat secara efektif mengurangi kerugian.
Kepercayaan komunitas dan komunikasi yang transparan memainkan peran penting dalam penanganan krisis.
Audit keamanan dan tinjauan kode harus menjadi hal yang biasa, terutama saat peningkatan sistem.
Mekanisme seperti desentralisasi dan multi-tanda tangan dapat meningkatkan keamanan sistem, tetapi perlu berhati-hati saat menerapkannya.
Pengguna harus berhati-hati dalam memilih jembatan lintas rantai, dengan mempertimbangkan terlebih dahulu proyek yang memiliki catatan baik dan dukungan yang kuat.
Dengan terus berkembangnya teknologi cross-chain, masalah keamanan akan tetap menjadi tantangan utama yang dihadapi di bidang ini. Pengembang, pengguna, dan seluruh industri perlu tetap waspada dan terus meningkatkan langkah-langkah keamanan untuk membangun ekosistem cross-chain yang lebih aman dan dapat diandalkan.