keamanan aset: bagaimana menghindari pencurian dana on-chain
Dengan berkembangnya aplikasi blockchain seperti keuangan terdesentralisasi dan token non-fungible, aset pengguna secara bertahap berpindah dari saluran terpusat tradisional ke platform seperti dompet terdesentralisasi, jembatan lintas rantai, dan produk pinjaman. Namun, proyek on-chain dan kejadian pencurian aset pengguna sering terjadi, membuat blockchain dijuluki "mesin penarikan hacker".
Beberapa kecelakaan keamanan ini berasal dari kerentanan kode, tetapi banyak juga yang disebabkan oleh faktor manusia. Misalnya, baru-baru ini sebuah pembuat pasar kripto kehilangan 160 juta USD karena kesalahan operasional.
Kerugian aset besar disebabkan oleh kesalahan manusia yang sederhana
Setelah kejadian tersebut, pembuat pasar tersebut menyatakan bahwa bisnis keuangan terpusat dan perdagangan OTC-nya tidak terpengaruh, dan kemampuan membayarnya masih dua kali lipat dari sisa ekuitas. Untuk pengguna yang memiliki perjanjian pembuatan pasar dengan mereka, keamanan aset terjamin. Dari 90 aset yang terkena peretasan, hanya dua yang bernilai lebih dari 1 juta dolar AS, sehingga kemungkinan besar tidak akan memicu penjualan besar-besaran.
Perusahaan keamanan menganalisis dan menemukan bahwa alamat hacker terkait dengan Tornado Cash dan beberapa operasi penarikan dari bursa. Sekitar 73% dari dana yang dicuri adalah stablecoin, 8% adalah WBTC, dan 6% adalah ETH. Penyerang menyetor 114 juta dolar AS ke suatu proyek untuk menyediakan likuiditas.
Investigasi setelah kejadian menunjukkan bahwa penyebab pencurian mungkin disebabkan oleh penggunaan alat pembangkit alamat yang memiliki celah. Pembuat pasar tersebut mengakui bahwa mereka pernah menggunakan alat semacam itu untuk mengoptimalkan biaya transaksi, bukan untuk membuat alamat yang menarik. Meskipun mereka mulai menghentikan penggunaan kunci lama setelah mengetahui adanya celah pada alat tersebut minggu lalu, kesalahan internal yang memanggil fungsi yang salah menyebabkan mereka gagal menghapus hak tanda tangan untuk alamat yang terpengaruh tepat waktu.
Untuk dana yang dicuri, pembuat pasar tersebut menyatakan bersedia membayar 10% sebagai imbalan untuk pemulihan. Meskipun insiden ini disebabkan oleh kesalahan manusia internal, perusahaan tidak akan memecat karyawan, mengubah strategi, atau menghentikan bisnis terkait.
Namun, data on-chain menunjukkan bahwa pembuat pasar tersebut memiliki utang keuangan terdesentralisasi lebih dari 200 juta dolar AS kepada beberapa mitra dagang, di mana pinjaman stablecoin terbesar sebesar 92 juta dolar AS akan jatuh tempo pada bulan Oktober. Jika dana yang dicuri tidak dapat dipulihkan tepat waktu, perusahaan tersebut mungkin menghadapi krisis utang.
Sekali lagi mengalami kerugian akibat kesalahan manusia
Sebenarnya, ini bukanlah pertama kalinya pembuat pasar ini mengalami kerugian akibat faktor manusia. Pada bulan Juni tahun ini, ketika diundang untuk menyediakan likuiditas untuk proyek Layer 2 tertentu, mereka kehilangan 20 juta token akibat kesalahan operasional.
Saat itu, yayasan proyek Layer 2 tersebut mengalokasikan 20 juta token kepada pembuat pasar untuk menyediakan likuiditas. Pembuat pasar menyediakan alamat tanda tangan ganda di jaringan utama Ethereum untuk menerima token. Namun, karena alamat ini belum diterapkan di jaringan Layer 2, pembuat pasar tidak dapat mengakses token-token tersebut.
Saat pembuat pasar mencoba untuk memulihkan operasi, penyerang lebih dulu menerapkan kontrak tanda tangan ganda ke jaringan Layer 2 dan mengendalikan 20 juta token ini. Untungnya, keesokan harinya, peretas mengembalikan 17 juta token, sisa kerugian ditanggung oleh pembuat pasar.
Bagaimana Pengguna Pribadi Dapat Menghindari Risiko Pencurian Aset
Mengingat lembaga sering mengalami kerugian besar akibat kesalahan manusia, pengguna individu harus lebih berhati-hati dalam melindungi keamanan aset mereka. Berikut adalah beberapa saran:
Hanya gunakan dompet kripto asli untuk membuat alamat, hindari penggunaan alat pihak ketiga. Alat pihak ketiga mungkin memiliki risiko keamanan, mudah diawasi atau diserang.
Menggunakan tanda tangan ganda untuk dompet aset utama. Meskipun tidak cocok untuk perdagangan frekuensi tinggi, tetapi bagi pengguna biasa dapat meminimalkan risiko kesalahan manusia.
Jangan pernah menyalin dan menempel untuk menyimpan kunci privat. Banyak perangkat dan aplikasi mungkin mengakses konten papan klip, meningkatkan risiko kebocoran. Bahkan jika sementara aman, dapat diserang setelah aset meningkat.
Periksa dengan cermat kontrak dan aset yang diotorisasi saat melakukan operasi on-chain. Verifikasi keaslian nama domain situs web dan alamat kontrak cerdas untuk mencegah otorisasi ke kontrak jahat.
Atur batas otorisasi dengan bijak dan segera cabut otorisasi yang tidak diperlukan. Hindari otorisasi tanpa batas, cabut akses segera setelah digunakan, untuk mengurangi risiko potensial.
Keamanan bukanlah hal kecil, terutama dalam situasi di mana aset blockchain sulit untuk dipulihkan dan perlindungan hukum terbatas. Pengguna harus sangat berhati-hati saat beroperasi on-chain, mengambil langkah-langkah perlindungan yang berlapis-lapis untuk memaksimalkan keamanan aset.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Hindari pencurian dana on-chain, lima langkah untuk melindungi aset enkripsi Anda
keamanan aset: bagaimana menghindari pencurian dana on-chain
Dengan berkembangnya aplikasi blockchain seperti keuangan terdesentralisasi dan token non-fungible, aset pengguna secara bertahap berpindah dari saluran terpusat tradisional ke platform seperti dompet terdesentralisasi, jembatan lintas rantai, dan produk pinjaman. Namun, proyek on-chain dan kejadian pencurian aset pengguna sering terjadi, membuat blockchain dijuluki "mesin penarikan hacker".
Beberapa kecelakaan keamanan ini berasal dari kerentanan kode, tetapi banyak juga yang disebabkan oleh faktor manusia. Misalnya, baru-baru ini sebuah pembuat pasar kripto kehilangan 160 juta USD karena kesalahan operasional.
Kerugian aset besar disebabkan oleh kesalahan manusia yang sederhana
Setelah kejadian tersebut, pembuat pasar tersebut menyatakan bahwa bisnis keuangan terpusat dan perdagangan OTC-nya tidak terpengaruh, dan kemampuan membayarnya masih dua kali lipat dari sisa ekuitas. Untuk pengguna yang memiliki perjanjian pembuatan pasar dengan mereka, keamanan aset terjamin. Dari 90 aset yang terkena peretasan, hanya dua yang bernilai lebih dari 1 juta dolar AS, sehingga kemungkinan besar tidak akan memicu penjualan besar-besaran.
Perusahaan keamanan menganalisis dan menemukan bahwa alamat hacker terkait dengan Tornado Cash dan beberapa operasi penarikan dari bursa. Sekitar 73% dari dana yang dicuri adalah stablecoin, 8% adalah WBTC, dan 6% adalah ETH. Penyerang menyetor 114 juta dolar AS ke suatu proyek untuk menyediakan likuiditas.
Investigasi setelah kejadian menunjukkan bahwa penyebab pencurian mungkin disebabkan oleh penggunaan alat pembangkit alamat yang memiliki celah. Pembuat pasar tersebut mengakui bahwa mereka pernah menggunakan alat semacam itu untuk mengoptimalkan biaya transaksi, bukan untuk membuat alamat yang menarik. Meskipun mereka mulai menghentikan penggunaan kunci lama setelah mengetahui adanya celah pada alat tersebut minggu lalu, kesalahan internal yang memanggil fungsi yang salah menyebabkan mereka gagal menghapus hak tanda tangan untuk alamat yang terpengaruh tepat waktu.
Untuk dana yang dicuri, pembuat pasar tersebut menyatakan bersedia membayar 10% sebagai imbalan untuk pemulihan. Meskipun insiden ini disebabkan oleh kesalahan manusia internal, perusahaan tidak akan memecat karyawan, mengubah strategi, atau menghentikan bisnis terkait.
Namun, data on-chain menunjukkan bahwa pembuat pasar tersebut memiliki utang keuangan terdesentralisasi lebih dari 200 juta dolar AS kepada beberapa mitra dagang, di mana pinjaman stablecoin terbesar sebesar 92 juta dolar AS akan jatuh tempo pada bulan Oktober. Jika dana yang dicuri tidak dapat dipulihkan tepat waktu, perusahaan tersebut mungkin menghadapi krisis utang.
Sekali lagi mengalami kerugian akibat kesalahan manusia
Sebenarnya, ini bukanlah pertama kalinya pembuat pasar ini mengalami kerugian akibat faktor manusia. Pada bulan Juni tahun ini, ketika diundang untuk menyediakan likuiditas untuk proyek Layer 2 tertentu, mereka kehilangan 20 juta token akibat kesalahan operasional.
Saat itu, yayasan proyek Layer 2 tersebut mengalokasikan 20 juta token kepada pembuat pasar untuk menyediakan likuiditas. Pembuat pasar menyediakan alamat tanda tangan ganda di jaringan utama Ethereum untuk menerima token. Namun, karena alamat ini belum diterapkan di jaringan Layer 2, pembuat pasar tidak dapat mengakses token-token tersebut.
Saat pembuat pasar mencoba untuk memulihkan operasi, penyerang lebih dulu menerapkan kontrak tanda tangan ganda ke jaringan Layer 2 dan mengendalikan 20 juta token ini. Untungnya, keesokan harinya, peretas mengembalikan 17 juta token, sisa kerugian ditanggung oleh pembuat pasar.
Bagaimana Pengguna Pribadi Dapat Menghindari Risiko Pencurian Aset
Mengingat lembaga sering mengalami kerugian besar akibat kesalahan manusia, pengguna individu harus lebih berhati-hati dalam melindungi keamanan aset mereka. Berikut adalah beberapa saran:
Hanya gunakan dompet kripto asli untuk membuat alamat, hindari penggunaan alat pihak ketiga. Alat pihak ketiga mungkin memiliki risiko keamanan, mudah diawasi atau diserang.
Menggunakan tanda tangan ganda untuk dompet aset utama. Meskipun tidak cocok untuk perdagangan frekuensi tinggi, tetapi bagi pengguna biasa dapat meminimalkan risiko kesalahan manusia.
Jangan pernah menyalin dan menempel untuk menyimpan kunci privat. Banyak perangkat dan aplikasi mungkin mengakses konten papan klip, meningkatkan risiko kebocoran. Bahkan jika sementara aman, dapat diserang setelah aset meningkat.
Periksa dengan cermat kontrak dan aset yang diotorisasi saat melakukan operasi on-chain. Verifikasi keaslian nama domain situs web dan alamat kontrak cerdas untuk mencegah otorisasi ke kontrak jahat.
Atur batas otorisasi dengan bijak dan segera cabut otorisasi yang tidak diperlukan. Hindari otorisasi tanpa batas, cabut akses segera setelah digunakan, untuk mengurangi risiko potensial.
Keamanan bukanlah hal kecil, terutama dalam situasi di mana aset blockchain sulit untuk dipulihkan dan perlindungan hukum terbatas. Pengguna harus sangat berhati-hati saat beroperasi on-chain, mengambil langkah-langkah perlindungan yang berlapis-lapis untuk memaksimalkan keamanan aset.