Tinjauan Kasus Serangan Jembatan Lintas Rantai: Sepuluh Kasus yang Melibatkan Kerugian Hampir 2 Miliar Dolar
Seiring dengan perkembangan teknologi blockchain, jembatan lintas rantai menjadi infrastruktur dasar yang penting untuk menghubungkan ekosistem berbagai blockchain publik. Namun, karena menampung sejumlah besar dana dan sering melakukan operasi lintas rantai, jembatan lintas rantai juga menjadi target populer untuk serangan hacker. Artikel ini akan meninjau sepuluh insiden serangan jembatan lintas rantai yang signifikan yang terjadi dalam beberapa tahun terakhir, serta merangkum pelajaran dan wawasan yang didapat.
ChainSwap: Mengalami dua kali serangan, kehilangan sekitar 8,8 juta dolar AS
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat selama 9 hari. Serangan pertama mengakibatkan kerugian sekitar 800.000 dolar AS, sedangkan serangan kedua lebih parah, dengan kerugian mencapai 8.000.000 dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Survei menunjukkan bahwa serangan berasal dari ketidakmampuan protokol untuk secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang menggunakan tanda tangan yang dihasilkan sendiri untuk melakukan transaksi. Karena kerugian utama adalah token pemerintahan, ChainSwap dan beberapa proyek yang terdampak memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengganti kerugian pemegang dan penyedia likuiditas.
Jaringan Poly: Aset senilai 610 juta dolar AS yang dicuri berhasil dipulihkan sepenuhnya
Pada bulan Agustus 2021, protokol interoperabilitas cross-chain Poly Network mengalami serangan DeFi terbesar pada saat itu, dengan total kerugian sekitar 610 juta dolar AS di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.
Alasan utama serangan adalah adanya celah dalam logika manajemen hak kontrak. Penyerang berhasil mengubah alamat validator di rantai target, sehingga dapat melakukan verifikasi tanda tangan untuk operasi pengeluaran aset. Meskipun skala serangan sangat besar, penyerang akhirnya mengembalikan semua dana, Poly Network juga menyebutnya "peretas topi putih" dan menawarkan untuk mempekerjakannya sebagai kepala penasihat keamanan.
Multichain: 6 juta dolar aset dicuri, hampir 50% telah dipulihkan
Pada Januari 2022, Multichain menemukan celah keamanan penting yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki, sekitar 6 juta dolar AS WETH dan AVAX masih dicuri.
Analisis keamanan menunjukkan bahwa serangan berasal dari masalah dalam Multichain saat memverifikasi keabsahan token yang dimasukkan oleh pengguna, yang tidak mempertimbangkan bahwa tidak semua token dasar mengimplementasikan fungsi permit. Tim berhasil memulihkan hampir 50% dana yang dicuri dan mengajukan rencana kompensasi, tetapi tidak lagi bertanggung jawab atas kerugian pengguna yang tidak segera mencabut otorisasi.
QBridge: kerugian 80 juta USD, hanya mengganti 2%
Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar AS. Penyerang memanfaatkan celah di QBridge saat menangani transfer token daftar putih yang tidak memeriksa alamat nol lagi, berhasil mencetak sejumlah besar token xETH secara sembarangan di BSC, dan menggunakan token tersebut untuk meminjam aset lain dari Qubit.
Saat ini, tingkat penggunaan Qubit telah menurun drastis, data resmi menunjukkan bahwa masih ada 98% dana yang dicuri belum mendapat kompensasi.
Meter.io: Kerugian 4,4 juta dolar, berjanji untuk mengganti kerugian dengan pendapatan di masa depan
Pada Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Pihak resmi menyatakan, masalah terletak pada "asumsi kepercayaan yang salah" terhadap kode dasar, yang memungkinkan peretas untuk memalsukan transfer BNB dan ETH.
Tim Meter awalnya berencana untuk mengganti kerugian menggunakan token MTRG, tetapi setelah pemungutan suara komunitas, diputuskan untuk menerbitkan token PASS baru sebagai ganti rugi, dan berjanji untuk membeli kembali PASS dengan keuntungan di masa depan. Namun, saat ini belum ada operasi pembelian kembali yang dilakukan.
Ronin: 620 juta dolar AS dicuri, sudah diganti rugi sepenuhnya
Pada Maret 2022, rantai Ronin yang mendukung Axie Infinity mengalami serangan besar, dengan kerugian mencapai 620 juta dolar. Menariknya, serangan tersebut terjadi pada 23 Maret, tetapi baru ditemukan 6 hari kemudian.
Survei menunjukkan bahwa serangan berasal dari serangan rekayasa sosial yang direncanakan dengan baik. Penyerang berhasil mendapatkan kepercayaan karyawan Sky Mavis dengan menyamar sebagai perekrut perusahaan, dan akhirnya mengendalikan beberapa node validasi di jaringan Ronin.
Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis telah mengumpulkan 150 juta USD melalui putaran pendanaan baru untuk kompensasi kerugian pengguna. Perlu dicatat bahwa selama periode kompensasi, harga ETH turun drastis, sehingga nilai kompensasi yang sebenarnya jauh lebih rendah daripada nilai aset saat dicuri.
Wormhole: Kerugian $326 juta, mendapatkan pembayaran yang tepat waktu
Pada awal Februari 2022, protokol interoperabilitas lintas rantai Wormhole mengalami serangan, dengan kerugian sekitar 120.000 ETH, senilai 3,26 miliar dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak inti Wormhole di sisi Solana, berhasil memalsukan pesan "penjaga" untuk mencetak sejumlah besar whETH.
Untungnya, Jump Crypto dengan cepat menyuntikkan 120.000 ETH ke Wormhole, menutupi semua kerugian, sehingga Wormhole dapat dengan cepat melanjutkan operasional.
EvoDeFi: Diperkirakan kehilangan lebih dari sepuluh juta dolar, belum teratasi
Pada Juni 2022, USDT di DEX Oasis ValleySwap mengalami fenomena penyimpangan yang serius. Akarnya masalah ini terletak pada kurangnya likuiditas di rantai sumber pada jembatan lintas rantai yang digunakan, EVODeFi.
Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan dalam kisaran puluhan juta dolar. Sayangnya, pihak terkait tidak memberikan solusi yang efektif. Akun media sosial resmi ValleySwap dan EVODeFi juga berhenti diperbarui setelah kejadian tersebut, yang sebenarnya setara dengan pihak proyek menyerah.
Horizon: Kerugian mendekati 100 juta USD, rencana kompensasi masih dalam penyusunan.
Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian dana sekitar 100 juta dolar. Pendiri Harmony mengakui bahwa serangan tersebut mungkin disebabkan oleh kebocoran kunci pribadi.
Harmony pernah mengusulkan untuk mengkompensasi kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token, tetapi gagal mendapatkan persetujuan konsensus dari komunitas. Saat ini, tim sedang merumuskan kembali rencana kompensasi.
Nomad: 190 juta dolar dicuri, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, jembatan cross-chain Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya dana sebesar 190 juta USD. Analisis menunjukkan bahwa masalah tersebut berasal dari kesalahan inisialisasi dalam pembaruan kontrak, yang memungkinkan siapa saja untuk dengan mudah menarik dana dari jembatan.
Serangan melibatkan 1251 alamat, di mana alamat ENS menyumbang 38% dari total jumlah. Meskipun pihak proyek belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, membawa harapan untuk penyelesaian masalah.
Ringkasan dan Inspirasi
Merefleksikan serangan-serangan terhadap jembatan lintas rantai ini, kita dapat menarik beberapa pelajaran berikut:
Jembatan lintas rantai adalah bidang yang berisiko tinggi, bahkan proyek terkenal sekalipun mungkin memiliki potensi risiko keamanan.
Tim pengembang yang kuat dan dukungan modal yang cukup sangat penting untuk penanganan setelah insiden. Proyek seperti Poly Network, Ronin, dan Wormhole, setelah mengalami kerugian besar, dapat dengan cepat mendapatkan kembali aset atau melakukan pembayaran penuh.
Mekanisme pemantauan waktu nyata dan respons cepat sangat penting. Beberapa proyek seperti Hop Protocol dan StarGate, berhasil mencegah serangan potensial dengan mendeteksi dan menangani aktivitas mencurigakan secara tepat waktu.
Pengguna harus berhati-hati saat memilih cross-chain bridges, memprioritaskan proyek yang dikembangkan oleh tim yang kuat untuk mengurangi risiko dana.
Audit keamanan rutin dan program hadiah kerentanan sangat penting untuk mengidentifikasi dan memperbaiki masalah potensial.
Tim pengembang jembatan lintas rantai harus terus belajar dari kasus serangan di masa lalu, memperbaiki langkah-langkah keamanan, terutama dalam hal peningkatan kontrak dan manajemen izin.
Singkatnya, seiring dengan meningkatnya permintaan untuk cross-chain, keamanan cross-chain bridges akan terus menjadi topik penting dalam industri blockchain. Pengembang, pengguna, dan seluruh ekosistem perlu bekerja sama untuk membangun infrastruktur cross-chain yang lebih aman dan dapat diandalkan.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Sepuluh Ulasan Serangan Jembatan Lintas Rantai: Pelajaran dan Pencerahan di Balik Kerugian Hampir 2 Miliar Dolar
Tinjauan Kasus Serangan Jembatan Lintas Rantai: Sepuluh Kasus yang Melibatkan Kerugian Hampir 2 Miliar Dolar
Seiring dengan perkembangan teknologi blockchain, jembatan lintas rantai menjadi infrastruktur dasar yang penting untuk menghubungkan ekosistem berbagai blockchain publik. Namun, karena menampung sejumlah besar dana dan sering melakukan operasi lintas rantai, jembatan lintas rantai juga menjadi target populer untuk serangan hacker. Artikel ini akan meninjau sepuluh insiden serangan jembatan lintas rantai yang signifikan yang terjadi dalam beberapa tahun terakhir, serta merangkum pelajaran dan wawasan yang didapat.
ChainSwap: Mengalami dua kali serangan, kehilangan sekitar 8,8 juta dolar AS
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat selama 9 hari. Serangan pertama mengakibatkan kerugian sekitar 800.000 dolar AS, sedangkan serangan kedua lebih parah, dengan kerugian mencapai 8.000.000 dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Survei menunjukkan bahwa serangan berasal dari ketidakmampuan protokol untuk secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang menggunakan tanda tangan yang dihasilkan sendiri untuk melakukan transaksi. Karena kerugian utama adalah token pemerintahan, ChainSwap dan beberapa proyek yang terdampak memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengganti kerugian pemegang dan penyedia likuiditas.
Jaringan Poly: Aset senilai 610 juta dolar AS yang dicuri berhasil dipulihkan sepenuhnya
Pada bulan Agustus 2021, protokol interoperabilitas cross-chain Poly Network mengalami serangan DeFi terbesar pada saat itu, dengan total kerugian sekitar 610 juta dolar AS di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.
Alasan utama serangan adalah adanya celah dalam logika manajemen hak kontrak. Penyerang berhasil mengubah alamat validator di rantai target, sehingga dapat melakukan verifikasi tanda tangan untuk operasi pengeluaran aset. Meskipun skala serangan sangat besar, penyerang akhirnya mengembalikan semua dana, Poly Network juga menyebutnya "peretas topi putih" dan menawarkan untuk mempekerjakannya sebagai kepala penasihat keamanan.
Multichain: 6 juta dolar aset dicuri, hampir 50% telah dipulihkan
Pada Januari 2022, Multichain menemukan celah keamanan penting yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki, sekitar 6 juta dolar AS WETH dan AVAX masih dicuri.
Analisis keamanan menunjukkan bahwa serangan berasal dari masalah dalam Multichain saat memverifikasi keabsahan token yang dimasukkan oleh pengguna, yang tidak mempertimbangkan bahwa tidak semua token dasar mengimplementasikan fungsi permit. Tim berhasil memulihkan hampir 50% dana yang dicuri dan mengajukan rencana kompensasi, tetapi tidak lagi bertanggung jawab atas kerugian pengguna yang tidak segera mencabut otorisasi.
QBridge: kerugian 80 juta USD, hanya mengganti 2%
Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar AS. Penyerang memanfaatkan celah di QBridge saat menangani transfer token daftar putih yang tidak memeriksa alamat nol lagi, berhasil mencetak sejumlah besar token xETH secara sembarangan di BSC, dan menggunakan token tersebut untuk meminjam aset lain dari Qubit.
Saat ini, tingkat penggunaan Qubit telah menurun drastis, data resmi menunjukkan bahwa masih ada 98% dana yang dicuri belum mendapat kompensasi.
Meter.io: Kerugian 4,4 juta dolar, berjanji untuk mengganti kerugian dengan pendapatan di masa depan
Pada Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Pihak resmi menyatakan, masalah terletak pada "asumsi kepercayaan yang salah" terhadap kode dasar, yang memungkinkan peretas untuk memalsukan transfer BNB dan ETH.
Tim Meter awalnya berencana untuk mengganti kerugian menggunakan token MTRG, tetapi setelah pemungutan suara komunitas, diputuskan untuk menerbitkan token PASS baru sebagai ganti rugi, dan berjanji untuk membeli kembali PASS dengan keuntungan di masa depan. Namun, saat ini belum ada operasi pembelian kembali yang dilakukan.
Ronin: 620 juta dolar AS dicuri, sudah diganti rugi sepenuhnya
Pada Maret 2022, rantai Ronin yang mendukung Axie Infinity mengalami serangan besar, dengan kerugian mencapai 620 juta dolar. Menariknya, serangan tersebut terjadi pada 23 Maret, tetapi baru ditemukan 6 hari kemudian.
Survei menunjukkan bahwa serangan berasal dari serangan rekayasa sosial yang direncanakan dengan baik. Penyerang berhasil mendapatkan kepercayaan karyawan Sky Mavis dengan menyamar sebagai perekrut perusahaan, dan akhirnya mengendalikan beberapa node validasi di jaringan Ronin.
Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis telah mengumpulkan 150 juta USD melalui putaran pendanaan baru untuk kompensasi kerugian pengguna. Perlu dicatat bahwa selama periode kompensasi, harga ETH turun drastis, sehingga nilai kompensasi yang sebenarnya jauh lebih rendah daripada nilai aset saat dicuri.
Wormhole: Kerugian $326 juta, mendapatkan pembayaran yang tepat waktu
Pada awal Februari 2022, protokol interoperabilitas lintas rantai Wormhole mengalami serangan, dengan kerugian sekitar 120.000 ETH, senilai 3,26 miliar dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak inti Wormhole di sisi Solana, berhasil memalsukan pesan "penjaga" untuk mencetak sejumlah besar whETH.
Untungnya, Jump Crypto dengan cepat menyuntikkan 120.000 ETH ke Wormhole, menutupi semua kerugian, sehingga Wormhole dapat dengan cepat melanjutkan operasional.
EvoDeFi: Diperkirakan kehilangan lebih dari sepuluh juta dolar, belum teratasi
Pada Juni 2022, USDT di DEX Oasis ValleySwap mengalami fenomena penyimpangan yang serius. Akarnya masalah ini terletak pada kurangnya likuiditas di rantai sumber pada jembatan lintas rantai yang digunakan, EVODeFi.
Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan dalam kisaran puluhan juta dolar. Sayangnya, pihak terkait tidak memberikan solusi yang efektif. Akun media sosial resmi ValleySwap dan EVODeFi juga berhenti diperbarui setelah kejadian tersebut, yang sebenarnya setara dengan pihak proyek menyerah.
Horizon: Kerugian mendekati 100 juta USD, rencana kompensasi masih dalam penyusunan.
Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian dana sekitar 100 juta dolar. Pendiri Harmony mengakui bahwa serangan tersebut mungkin disebabkan oleh kebocoran kunci pribadi.
Harmony pernah mengusulkan untuk mengkompensasi kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token, tetapi gagal mendapatkan persetujuan konsensus dari komunitas. Saat ini, tim sedang merumuskan kembali rencana kompensasi.
Nomad: 190 juta dolar dicuri, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, jembatan cross-chain Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya dana sebesar 190 juta USD. Analisis menunjukkan bahwa masalah tersebut berasal dari kesalahan inisialisasi dalam pembaruan kontrak, yang memungkinkan siapa saja untuk dengan mudah menarik dana dari jembatan.
Serangan melibatkan 1251 alamat, di mana alamat ENS menyumbang 38% dari total jumlah. Meskipun pihak proyek belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, membawa harapan untuk penyelesaian masalah.
Ringkasan dan Inspirasi
Merefleksikan serangan-serangan terhadap jembatan lintas rantai ini, kita dapat menarik beberapa pelajaran berikut:
Jembatan lintas rantai adalah bidang yang berisiko tinggi, bahkan proyek terkenal sekalipun mungkin memiliki potensi risiko keamanan.
Tim pengembang yang kuat dan dukungan modal yang cukup sangat penting untuk penanganan setelah insiden. Proyek seperti Poly Network, Ronin, dan Wormhole, setelah mengalami kerugian besar, dapat dengan cepat mendapatkan kembali aset atau melakukan pembayaran penuh.
Mekanisme pemantauan waktu nyata dan respons cepat sangat penting. Beberapa proyek seperti Hop Protocol dan StarGate, berhasil mencegah serangan potensial dengan mendeteksi dan menangani aktivitas mencurigakan secara tepat waktu.
Pengguna harus berhati-hati saat memilih cross-chain bridges, memprioritaskan proyek yang dikembangkan oleh tim yang kuat untuk mengurangi risiko dana.
Audit keamanan rutin dan program hadiah kerentanan sangat penting untuk mengidentifikasi dan memperbaiki masalah potensial.
Tim pengembang jembatan lintas rantai harus terus belajar dari kasus serangan di masa lalu, memperbaiki langkah-langkah keamanan, terutama dalam hal peningkatan kontrak dan manajemen izin.
Singkatnya, seiring dengan meningkatnya permintaan untuk cross-chain, keamanan cross-chain bridges akan terus menjadi topik penting dalam industri blockchain. Pengembang, pengguna, dan seluruh ekosistem perlu bekerja sama untuk membangun infrastruktur cross-chain yang lebih aman dan dapat diandalkan.