Tampaknya komunitas DeFi menerima pesannya.
Dalam beberapa tahun terakhir, proyek keuangan terdesentralisasi telah menjadi target utama para penjahat dunia maya dan peretas. Dan para ahli keamanan blockchain telah mendesak masyarakat untuk lebih waspada.
Benar saja, peretasan DeFi telah turun seperempat dalam sembilan bulan pertama tahun 2024 dibandingkan dengan sepanjang tahun 2023, menurut data dari TRM Labs.
Bursa dan kustodian terpusat adalah pihak yang paling banyak ditipu.
Hasil tangkapan peretasan
Pencurian aset digital senilai $2,1 miliar pada tiga kuartal pertama tahun 2024 telah melampaui keseluruhan tahun 2023 sebesar 5%, menurut TRM Labs.
“Pada dasarnya, kami telah melihat jumlah peretasan meningkat dua kali lipat pada tahun 2024, per 30 September, dibandingkan dengan periode yang sama pada tahun 2023,” kata Ari Redbord, kepala kebijakan dan urusan pemerintahan global di perusahaan intelijen blockchain TRM Labs, kepada DL News.
Redbord mengatakan peretasan kripto terjadi pada kecepatan yang memecahkan rekor, mengingatkan pada tahun 2022, di mana investor kehilangan $3,8 miliar.
Menurut firma keamanan web3 Cyvers, insiden peretasan yang melibatkan bursa tersentralisasi dan kustodian telah tumbuh sekitar 1.000%, menjadi $401 juta, dibandingkan tahun lalu.
Sebagian besar kerugian tersebut berasal dari pelanggaran DMM Bitcoin Exchange di mana tersangka peretas Korea Utara mencuri dana sebesar $305 juta dari platform tersebut.
Bursa kripto yang berbasis di Türkiye kehilangan $55 juta pada bulan Juni dan platform lain yang terkena dampak termasuk Lykke dan Rain Exchange.
Kebocoran kunci pribadi
Kerugian CEX tersebut memiliki kesamaan tema, yakni serangan terhadap infrastruktur platform yang akhirnya mengungkap kunci pribadi dompet kripto mereka.
Kunci pribadi adalah rangkaian teks alfanumerik yang digunakan untuk menandatangani transaksi kripto. Jika terbongkar, kunci tersebut dapat digunakan untuk mencuri dana dari dompet korban.
Platform CEX mengelola kunci privatnya sendiri atau menugaskan tanggung jawab ke protokol pihak ketiga.
Kontrol akses
Terlepas dari strategi manajemen kunci yang digunakan, kontrol akses merupakan perhatian utama dan para ahli keamanan web3 sebelumnya telah memperingatkan adanya kesenjangan dalam model keamanan yang digunakan oleh perusahaan kripto.
"Serangan telah mengembangkan taktik mereka untuk mengeksploitasi kelemahan ini, memanfaatkan celah dalam kontrol akses dan memanfaatkan teknik canggih seperti phishing dan rekayasa sosial untuk mendapatkan akses tanpa izin," kata Meir Dolev, kepala petugas teknologi dari perusahaan keamanan web3 Cyvers, kepada DL News.
Banyak peretasan CEX dari era pra-DeFi di dunia kripto yang menunjukkan adanya keterlibatan orang dalam.
Manajer kunci pihak ketiga menjadi solusi bagi karyawan nakal yang membocorkan kunci pribadi kepada peretas.
Meski begitu, Dolev mengatakan protokol penyimpanan kunci pribadi ini bisa saja sama rentannya.
Peretasan yang melibatkan orang terkenal
Kerentanan tersebut sebenarnya sudah menjadi perhatian sejak tahun lalu karena menjadi penyebab sejumlah peretasan besar, termasuk pencurian $41 juta dari platform kasino kripto Stake.
“Solusi untuk lanskap ancaman yang terus berkembang ini terletak pada langkah-langkah keamanan berlapis,” kata Dolev.
“Perusahaan tidak boleh hanya mengandalkan layanan pihak ketiga, tetapi mengadopsi pendekatan hibrida yang menggabungkan praktik manajemen kunci internal dengan solusi eksternal yang kuat.”
Osato Avan-Nomayo adalah koresponden DeFi kami yang berbasis di Nigeria. Ia meliput DeFi dan teknologi. Untuk berbagi kiat atau informasi tentang berita, silakan hubungi dia di osato@dlnews.com.