rounded

Ditulis oleh: Beosin


Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius sambil melakukan inovasi teknologi dan perluasan ekosistem. Menurut pemantauan platform Alert di bawah perusahaan audit keamanan Beosin, hingga saat ini, total kerugian di bidang Web3 akibat serangan peretas, penipuan phishing, dan penarikan rug dari pihak proyek mencapai 2,491 miliar dolar AS.


Kejadian ini tidak hanya mengungkapkan kekurangan teknis dalam pengelolaan kunci pribadi, kerentanan kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan merangkum 10 peristiwa keamanan Web3 paling signifikan pada tahun 2024, membantu industri untuk belajar dari kejadian tersebut dan lebih baik dalam menghadapi ancaman keamanan di masa depan.


No.1 DMM Bitcoin


Jumlah kerugian: 304 juta dolar AS

Metode serangan: Kebocoran kunci pribadi

Pada 31 Mei 2024, bursa cryptocurrency Jepang DMM Bitcoin mengalami serangan bersejarah. Penyerang menggunakan kunci pribadi yang bocor untuk langsung memindahkan Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Serangan ini mengungkapkan kekurangan serius DMM Bitcoin dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis. Meskipun bursa berusaha untuk melacak peretas melalui pemantauan di blockchain dan membekukan dana, Bitcoin yang dicuri sudah dipindahkan dan dicuci menggunakan alat pencampur, yang membuat upaya pelacakan menjadi sangat sulit.
Pada 24 Desember, kepolisian Jepang menyatakan bahwa kejadian pencurian DMM Bitcoin dilakukan oleh kelompok peretas Korea Utara, Lazarus Group. Untuk analisis mendalam tentang serangan dan pencucian dana oleh Lazarus Group, Anda dapat membaca (Mengungkap kelompok pencuri cryptocurrency paling berani dalam sejarah, analisis pencucian uang oleh kelompok peretas Lazarus).

No.2 PlayDapp


Jumlah kerugian: 290 juta dolar AS

Metode serangan: Kebocoran kunci pribadi

Pada 9 Februari 2024, PlayDapp mengalami pukulan berat, peretas berhasil mencetak 2 miliar token PLA dengan mencuri kunci pribadi, bernilai awal 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan peretas tidak berhasil, peretas lebih lanjut mencetak 15,9 miliar token PLA dalam waktu singkat, bernilai 253,9 juta dolar AS. Beberapa token ini mengalir ke bursa Gate, dan PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Kejadian ini menyoroti kekurangan dalam perlindungan kunci pribadi dan penanganan darurat proyek blockchain.


No.3 WazirX


Jumlah kerugian: 235 juta dolar AS

Metode serangan: Serangan siber dan phishing

Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet milik bursa cryptocurrency terbesar di India, WazirX, mengalami serangan terarah oleh peretas. Penyerang menggunakan rekayasa sosial untuk mendorong penandatangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, lalu memanfaatkan hak kontrak yang telah ditingkatkan untuk memindahkan semua aset di dompet. Kasus ini menyoroti risiko potensial dalam pengelolaan konfigurasi hak dan transparansi operasi dompet multi-tanda tangan, dan memicu refleksi mendalam dalam industri tentang mekanisme pengendalian dan keamanan internal proyek.


Untuk analisis mendalam dan pelacakan dana terkait kejadian ini, Anda dapat membaca (Beosin | Analisis kasus pencurian 235 juta dolar AS di bursa India WazirX).

No.4 Gala Games


Jumlah kerugian: 216 juta dolar AS

Metode serangan: Kerentanan kontrol akses


Pada 20 Mei 2024, alamat istimewa Gala Games diretas oleh peretas, yang mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dalam kontrak token. Setelah itu, peretas menukar token yang ditingkatkan dalam beberapa tahap menjadi ETH, menyebabkan kerugian langsung sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun peretas dan melalui jalur hukum berusaha untuk memulihkan kerugian.

No.5 Chris Larsen (co-founder Ripple)


Jumlah kerugian: 112 juta dolar AS

Metode serangan: Kebocoran kunci pribadi

Pada 31 Januari 2024, empat dompet pribadi Chris Larsen, co-founder Ripple, diretas, menyebabkan pencurian 112 juta dolar AS dalam XRP. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Setelah kejadian, Binance berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.

No.6 Munchables


Jumlah kerugian: 62,5 juta dolar AS

Metode serangan: Serangan rekayasa sosial


Pada 26 Maret 2024, platform permainan Web3 Munchables yang berbasis Blast mengalami serangan infiltrasi internal yang jarang terjadi. Penyerang adalah peretas asal Korea Utara yang menyamar sebagai pengembang blockchain, berhasil mendapatkan kode inti dan kunci sensitif setelah berlama-lama menyusup. Meskipun serangan tersebut menyebabkan kerugian besar, peretas akhirnya mengembalikan semua dana yang dicuri karena tekanan dari komunitas dan tim. Kejadian ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.


No.7 BtcTurk


Jumlah kerugian: 55 juta dolar AS

Metode serangan: Kebocoran kunci pribadi

Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, kehilangan lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim Binance, dana yang dicuri sebesar 5,3 juta dolar AS berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Kejadian ini memperdalam kekhawatiran pasar tentang pengelolaan kunci pribadi di bursa terpusat.


Pengumuman resmi BtcTurk tentang serangan

No.8 Radiant Capital


Jumlah kerugian: 53 juta dolar AS

Metode serangan: Kebocoran kunci pribadi


Pada 17 Oktober 2024, dompet multi-tanda tangan Radiant Capital diserang oleh peretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang rendah, peretas berhasil mengalihkan kepemilikan kontrak dompet ke alamat jahat dengan menguasai kunci pribadi dari 3 penandatangan, menyebabkan kerugian 53 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multi-tanda tangan.


Sebelum serangan ini, Radiant Capital telah kehilangan 4,5 juta dolar AS karena kerentanan kontrak, dengan lebih dari 1900 ETH dicuri. Tingkat perhatian proyek Web3 terhadap keamanan masih perlu ditingkatkan.

No.9 Hedgey Finance


Jumlah kerugian: 44,7 juta dolar AS

Metode serangan: Kerentanan kontrak

Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak di rantai. Peretas memanfaatkan celah persetujuan di kontrak ClaimCampaigns, berhasil menarik token di rantai Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Kejadian ini menunjukkan pentingnya audit kode, terutama untuk verifikasi logika persetujuan token yang ketat.

No.10 BingX


Jumlah kerugian: 44,7 juta dolar AS

Metode serangan: Kebocoran kunci pribadi

Pada 19 September 2024, dompet panas bursa BingX diretas, mencakup beberapa rantai termasuk Ethereum, BNB Chain, Tron, dan beberapa rantai publik lainnya. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, peretas telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan risiko tinggi dalam pengelolaan dompet panas di bursa terpusat dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.

Serangan keamanan di tahun 2024 sering terjadi, sekali lagi mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari perlindungan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kami dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.