Tinjauan Kasus Serangan Jembatan Lintas Rantai: Kerugian Hampir 2 Miliar Dolar, Lebih dari 1,5 Miliar Dolar Mendapatkan Kompensasi
Dalam beberapa tahun terakhir, dengan perkembangan pesat ekosistem blockchain, jembatan lintas rantai telah menjadi infrastruktur penting yang menghubungkan berbagai blockchain publik. Namun, karena menyimpan sejumlah besar dana dan sering melakukan operasi lintas rantai, jembatan lintas rantai juga menjadi target populer bagi serangan hacker. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai besar yang terjadi baru-baru ini, merangkum penyebab dan dampaknya, serta langkah-langkah yang diambil oleh masing-masing proyek.
ChainSwap: Dua serangan menyebabkan kerugian hampir 9 juta dolar
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat 9 hari. Serangan pertama menyebabkan kerugian sekitar 800.000 dolar AS, sedangkan kerugian kedua mencapai 8.000.000 dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Survei menunjukkan bahwa serangan berasal dari kegagalan protokol untuk secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang menggunakan tanda tangan yang mereka buat sendiri untuk melakukan transaksi. Karena kerugian utama adalah token tata kelola, ChainSwap dan beberapa proyek yang terkena dampak memilih untuk melakukan snapshot dan menerbitkan kembali token, untuk mengkompensasi kerugian pemegang token dan penyedia likuiditas.
Jaringan Poly: $610 juta yang dicuri dikembalikan sepenuhnya
Pada 10 Agustus 2021, protokol lintas rantai Poly Network mengalami serangan DeFi terbesar pada saat itu, kehilangan sekitar 610 juta dolar AS dalam aset di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.
Penyerang memanfaatkan celah dalam logika pengelolaan hak kontrak Poly Network, berhasil mengganti alamat validator di rantai target, sehingga memperoleh hak untuk memindahkan aset. Meskipun teknik serangannya canggih, peretas akhirnya memilih untuk mengembalikan semua dana, Poly Network juga menyebutnya sebagai peretas "topi putih", dan mengundangnya untuk menjabat sebagai kepala konsultan keamanan perusahaan.
Multichain: Kerugian 6 juta dolar AS, telah sebagian dibayar
Pada Januari 2022, Multichain menemukan celah keamanan besar yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki tepat waktu, sekitar 6,04 juta dolar WETH dan AVAX masih dicuri.
Masalah terletak pada Multichain yang tidak memverifikasi keabsahan Token yang diberikan pengguna dengan benar, menyebabkan WETH beberapa pengguna dipindahkan ke alamat jahat yang dibangun oleh penyerang. Tim Multichain berhasil memulihkan hampir 50% dana yang dicuri dan mengajukan rencana kompensasi, tetapi hanya terbatas pada pengguna yang mencabut otorisasi sebelum tanggal yang ditentukan.
QBridge: Kerugian 80 juta USD, hanya sedikit kompensasi
Pada akhir Januari 2022, jembatan lintas rantai QBridge milik platform pinjaman Qubit diserang, menyebabkan kerugian sekitar 80 juta USD. Penyerang memanfaatkan celah dalam QBridge saat memproses transfer token daftar putih, berhasil mencetak sejumlah besar token xETH secara sembarangan di BSC, dan menggunakan token tersebut untuk meminjam aset lain dari Qubit.
Saat ini, tingkat penggunaan Qubit telah menurun drastis, data resmi menunjukkan bahwa masih ada 98% dana yang dicuri belum mendapatkan kompensasi.
Meter.io: Kerugian 4,4 juta dolar, berkomitmen untuk pembayaran keuntungan di masa depan
Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Serangan tersebut berasal dari "asumsi kepercayaan yang salah" yang muncul saat Meter memperluas kode asli, yang memungkinkan hacker untuk memalsukan transfer BNB dan ETH.
Tim Meter awalnya berencana untuk mengkompensasi kerugian pengguna dengan token MTRG, tetapi kemudian memutuskan untuk menerbitkan token PASS baru sebagai ganti rugi, dan berjanji untuk membeli kembali token-token ini dengan keuntungan di masa depan. Namun, hingga kini belum ada operasi pembelian kembali yang dilakukan.
Ronin: 620 juta dolar AS dicuri, sudah dibayar penuh
Pada bulan Maret 2022, rantai Ronin di belakang Axie Infinity mengalami serangan besar-besaran, dengan kerugian mencapai 620 juta dolar AS. Serangan ini melibatkan metode rekayasa sosial yang kompleks, di mana penyerang menyamar sebagai perusahaan perekrutan, berhasil menyusup ke jaringan Ronin dan mengendalikan beberapa node validasi.
Meskipun dana yang dicuri tidak dapat dipulihkan, perusahaan Sky Mavis yang berada di belakang Ronin dengan cepat mengumpulkan dana sebesar 150 juta USD untuk mengganti kerugian pengguna. Perlu dicatat bahwa, karena harga ETH turun secara signifikan dari waktu serangan hingga waktu pembayaran, nilai kompensasi yang sebenarnya diterima pengguna berada di bawah nilai aset saat dicuri.
Wormhole: Kerugian sebesar 326 juta dolar, mendapatkan kompensasi penuh
Pada awal Februari 2022, protokol lintas rantai Wormhole mengalami serangan, kehilangan sekitar 120.000 ETH senilai 326 juta dolar AS. Penyerang memanfaatkan kerentanan verifikasi tanda tangan dalam kontrak inti Wormhole di sisi Solana, berhasil memalsukan pesan "penjaga" untuk mencetak sejumlah besar whETH.
Untungnya, Jump Crypto di balik Wormhole segera menyuntikkan 120.000 ETH, sepenuhnya mengkompensasi kerugian, memungkinkan Wormhole untuk cepat memulihkan operasinya.
EvoDeFi: Diperkirakan kerugian lebih dari sepuluh juta dolar, belum teratasi
Pada bulan Juni 2022, DEX ValleySwap dalam ekosistem Oasis mengalami fenomena penyimpangan serius USDT, yang mengakibatkan kerugian besar bagi banyak pengguna. Masalah ini berasal dari kurangnya likuiditas di rantai sumber dari jembatan lintas rantai EVODeFi yang digunakan oleh ValleySwap.
Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan berada di kisaran puluhan juta dolar. Sayangnya, pihak-pihak terkait semuanya berusaha untuk menghindari tanggung jawab, dan kerugian pengguna hingga saat ini belum mendapatkan kompensasi atau solusi apa pun.
Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam penyusunan.
Pada bulan Juni 2022, jembatan lintas rantai resmi Horizon dari blockchain Harmony diserang, dengan kerugian sekitar 100 juta USD. Investigasi menunjukkan bahwa serangan tersebut kemungkinan disebabkan oleh kebocoran kunci privat.
Tim Harmony pernah mengusulkan untuk secara bertahap mengkompensasi kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi proposal tersebut tidak mendapat dukungan dari komunitas. Saat ini, rencana kompensasi baru sedang disusun.
Nomad: $190 juta dicuri, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, protokol lintas rantai Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya dana sebesar 190 juta USD. Serangan tersebut berasal dari kesalahan besar dalam peningkatan kontrak, yang memungkinkan siapa saja untuk menarik dana dari jembatan.
Peristiwa kali ini melibatkan sejumlah besar alamat, termasuk pengguna nama domain ENS. Meskipun pihak resmi belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, yang membawa harapan untuk penyelesaian akhir.
Ringkasan
Merefleksikan peristiwa serangan besar pada jembatan lintas rantai ini, kita dapat melihat:
Jembatan lintas rantai masih merupakan bidang berisiko tinggi dalam ekosistem DeFi, bahkan proyek-proyek terkenal pun tidak terhindar dari serangan.
Penyebab serangan bervariasi, termasuk kerentanan kontrak, masalah manajemen izin, serangan rekayasa sosial, dan lain-lain. Pihak proyek perlu memperkuat perlindungan keamanan secara menyeluruh.
Latar belakang proyek dan kekuatan finansial sangat penting untuk penanganan setelahnya. Proyek yang kuat sering kali dapat dengan cepat mengumpulkan dana untuk kompensasi, sementara proyek kecil mungkin sulit untuk bertahan.
Pemantauan waktu nyata dan respons cepat dapat secara efektif mengurangi kerugian. Beberapa proyek berhasil menghindari serangan besar dengan mendeteksi dan menangani aktivitas mencurigakan tepat waktu.
Pengguna harus berhati-hati saat memilih cross-chain bridges, lebih mengutamakan proyek yang memiliki kekuatan dan latar belakang yang baik, serta harus memperhatikan peringatan keamanan dan pembaruan dari pihak proyek secara tepat waktu.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
23 Suka
Hadiah
23
5
Bagikan
Komentar
0/400
Degentleman
· 07-30 14:17
Sudah, sudah, lagi-lagi kontrak yang dibocorkan.
Lihat AsliBalas0
StakeHouseDirector
· 07-29 23:32
Hari-Hari Dianggap Bodoh
Lihat AsliBalas0
ThesisInvestor
· 07-28 14:59
Setelah bertahun-tahun, masih terjadi hal ini.
Lihat AsliBalas0
GasWaster
· 07-28 14:55
Lagi-lagi mengirim uang kepada Hacker
Lihat AsliBalas0
SleepTrader
· 07-28 14:44
Tidak bermain sama saja dengan memberi secara gratis
Serangan jembatan lintas rantai menyebabkan kerugian hampir 2 miliar dolar AS, 1,5 miliar dolar AS telah mendapatkan kompensasi.
Tinjauan Kasus Serangan Jembatan Lintas Rantai: Kerugian Hampir 2 Miliar Dolar, Lebih dari 1,5 Miliar Dolar Mendapatkan Kompensasi
Dalam beberapa tahun terakhir, dengan perkembangan pesat ekosistem blockchain, jembatan lintas rantai telah menjadi infrastruktur penting yang menghubungkan berbagai blockchain publik. Namun, karena menyimpan sejumlah besar dana dan sering melakukan operasi lintas rantai, jembatan lintas rantai juga menjadi target populer bagi serangan hacker. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai besar yang terjadi baru-baru ini, merangkum penyebab dan dampaknya, serta langkah-langkah yang diambil oleh masing-masing proyek.
ChainSwap: Dua serangan menyebabkan kerugian hampir 9 juta dolar
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat 9 hari. Serangan pertama menyebabkan kerugian sekitar 800.000 dolar AS, sedangkan kerugian kedua mencapai 8.000.000 dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Survei menunjukkan bahwa serangan berasal dari kegagalan protokol untuk secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang menggunakan tanda tangan yang mereka buat sendiri untuk melakukan transaksi. Karena kerugian utama adalah token tata kelola, ChainSwap dan beberapa proyek yang terkena dampak memilih untuk melakukan snapshot dan menerbitkan kembali token, untuk mengkompensasi kerugian pemegang token dan penyedia likuiditas.
Jaringan Poly: $610 juta yang dicuri dikembalikan sepenuhnya
Pada 10 Agustus 2021, protokol lintas rantai Poly Network mengalami serangan DeFi terbesar pada saat itu, kehilangan sekitar 610 juta dolar AS dalam aset di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.
Penyerang memanfaatkan celah dalam logika pengelolaan hak kontrak Poly Network, berhasil mengganti alamat validator di rantai target, sehingga memperoleh hak untuk memindahkan aset. Meskipun teknik serangannya canggih, peretas akhirnya memilih untuk mengembalikan semua dana, Poly Network juga menyebutnya sebagai peretas "topi putih", dan mengundangnya untuk menjabat sebagai kepala konsultan keamanan perusahaan.
Multichain: Kerugian 6 juta dolar AS, telah sebagian dibayar
Pada Januari 2022, Multichain menemukan celah keamanan besar yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki tepat waktu, sekitar 6,04 juta dolar WETH dan AVAX masih dicuri.
Masalah terletak pada Multichain yang tidak memverifikasi keabsahan Token yang diberikan pengguna dengan benar, menyebabkan WETH beberapa pengguna dipindahkan ke alamat jahat yang dibangun oleh penyerang. Tim Multichain berhasil memulihkan hampir 50% dana yang dicuri dan mengajukan rencana kompensasi, tetapi hanya terbatas pada pengguna yang mencabut otorisasi sebelum tanggal yang ditentukan.
QBridge: Kerugian 80 juta USD, hanya sedikit kompensasi
Pada akhir Januari 2022, jembatan lintas rantai QBridge milik platform pinjaman Qubit diserang, menyebabkan kerugian sekitar 80 juta USD. Penyerang memanfaatkan celah dalam QBridge saat memproses transfer token daftar putih, berhasil mencetak sejumlah besar token xETH secara sembarangan di BSC, dan menggunakan token tersebut untuk meminjam aset lain dari Qubit.
Saat ini, tingkat penggunaan Qubit telah menurun drastis, data resmi menunjukkan bahwa masih ada 98% dana yang dicuri belum mendapatkan kompensasi.
Meter.io: Kerugian 4,4 juta dolar, berkomitmen untuk pembayaran keuntungan di masa depan
Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Serangan tersebut berasal dari "asumsi kepercayaan yang salah" yang muncul saat Meter memperluas kode asli, yang memungkinkan hacker untuk memalsukan transfer BNB dan ETH.
Tim Meter awalnya berencana untuk mengkompensasi kerugian pengguna dengan token MTRG, tetapi kemudian memutuskan untuk menerbitkan token PASS baru sebagai ganti rugi, dan berjanji untuk membeli kembali token-token ini dengan keuntungan di masa depan. Namun, hingga kini belum ada operasi pembelian kembali yang dilakukan.
Ronin: 620 juta dolar AS dicuri, sudah dibayar penuh
Pada bulan Maret 2022, rantai Ronin di belakang Axie Infinity mengalami serangan besar-besaran, dengan kerugian mencapai 620 juta dolar AS. Serangan ini melibatkan metode rekayasa sosial yang kompleks, di mana penyerang menyamar sebagai perusahaan perekrutan, berhasil menyusup ke jaringan Ronin dan mengendalikan beberapa node validasi.
Meskipun dana yang dicuri tidak dapat dipulihkan, perusahaan Sky Mavis yang berada di belakang Ronin dengan cepat mengumpulkan dana sebesar 150 juta USD untuk mengganti kerugian pengguna. Perlu dicatat bahwa, karena harga ETH turun secara signifikan dari waktu serangan hingga waktu pembayaran, nilai kompensasi yang sebenarnya diterima pengguna berada di bawah nilai aset saat dicuri.
Wormhole: Kerugian sebesar 326 juta dolar, mendapatkan kompensasi penuh
Pada awal Februari 2022, protokol lintas rantai Wormhole mengalami serangan, kehilangan sekitar 120.000 ETH senilai 326 juta dolar AS. Penyerang memanfaatkan kerentanan verifikasi tanda tangan dalam kontrak inti Wormhole di sisi Solana, berhasil memalsukan pesan "penjaga" untuk mencetak sejumlah besar whETH.
Untungnya, Jump Crypto di balik Wormhole segera menyuntikkan 120.000 ETH, sepenuhnya mengkompensasi kerugian, memungkinkan Wormhole untuk cepat memulihkan operasinya.
EvoDeFi: Diperkirakan kerugian lebih dari sepuluh juta dolar, belum teratasi
Pada bulan Juni 2022, DEX ValleySwap dalam ekosistem Oasis mengalami fenomena penyimpangan serius USDT, yang mengakibatkan kerugian besar bagi banyak pengguna. Masalah ini berasal dari kurangnya likuiditas di rantai sumber dari jembatan lintas rantai EVODeFi yang digunakan oleh ValleySwap.
Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan berada di kisaran puluhan juta dolar. Sayangnya, pihak-pihak terkait semuanya berusaha untuk menghindari tanggung jawab, dan kerugian pengguna hingga saat ini belum mendapatkan kompensasi atau solusi apa pun.
Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam penyusunan.
Pada bulan Juni 2022, jembatan lintas rantai resmi Horizon dari blockchain Harmony diserang, dengan kerugian sekitar 100 juta USD. Investigasi menunjukkan bahwa serangan tersebut kemungkinan disebabkan oleh kebocoran kunci privat.
Tim Harmony pernah mengusulkan untuk secara bertahap mengkompensasi kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi proposal tersebut tidak mendapat dukungan dari komunitas. Saat ini, rencana kompensasi baru sedang disusun.
Nomad: $190 juta dicuri, sebagian dana diharapkan dapat dipulihkan
Pada bulan Agustus 2022, protokol lintas rantai Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya dana sebesar 190 juta USD. Serangan tersebut berasal dari kesalahan besar dalam peningkatan kontrak, yang memungkinkan siapa saja untuk menarik dana dari jembatan.
Peristiwa kali ini melibatkan sejumlah besar alamat, termasuk pengguna nama domain ENS. Meskipun pihak resmi belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, yang membawa harapan untuk penyelesaian akhir.
Ringkasan
Merefleksikan peristiwa serangan besar pada jembatan lintas rantai ini, kita dapat melihat:
Jembatan lintas rantai masih merupakan bidang berisiko tinggi dalam ekosistem DeFi, bahkan proyek-proyek terkenal pun tidak terhindar dari serangan.
Penyebab serangan bervariasi, termasuk kerentanan kontrak, masalah manajemen izin, serangan rekayasa sosial, dan lain-lain. Pihak proyek perlu memperkuat perlindungan keamanan secara menyeluruh.
Latar belakang proyek dan kekuatan finansial sangat penting untuk penanganan setelahnya. Proyek yang kuat sering kali dapat dengan cepat mengumpulkan dana untuk kompensasi, sementara proyek kecil mungkin sulit untuk bertahan.
Pemantauan waktu nyata dan respons cepat dapat secara efektif mengurangi kerugian. Beberapa proyek berhasil menghindari serangan besar dengan mendeteksi dan menangani aktivitas mencurigakan tepat waktu.
Pengguna harus berhati-hati saat memilih cross-chain bridges, lebih mengutamakan proyek yang memiliki kekuatan dan latar belakang yang baik, serta harus memperhatikan peringatan keamanan dan pembaruan dari pihak proyek secara tepat waktu.