Ditulis oleh: Beosin
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius sambil terus berinovasi secara teknis dan memperluas ekosistem. Menurut platform Alert yang dipantau oleh perusahaan audit keamanan Beosin, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan Rug Pull dari pihak proyek telah mencapai 2,491 juta dolar AS.
Peristiwa ini tidak hanya mengungkapkan kekurangan teknis dalam pengelolaan kunci pribadi dan kerentanan kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan merangkum sepuluh peristiwa keamanan paling berpengaruh dalam Web3 tahun 2024, membantu industri untuk mengambil pelajaran dan lebih baik dalam menghadapi ancaman keamanan di masa depan.
No.1 DMM Bitcoin
Kerugian: 304 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 31 Mei 2024, bursa cryptocurrency Jepang, DMM Bitcoin, mengalami serangan bersejarah. Hacker memanfaatkan kunci pribadi yang bocor untuk langsung memindahkan lebih dari 300 juta dolar AS dalam bentuk Bitcoin, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Serangan ini mengungkapkan kekurangan serius DMM Bitcoin dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis. Meskipun bursa berusaha untuk melacak hacker melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri telah terdistribusi dan dicuci menggunakan alat mixing, yang menjadi tantangan besar dalam pekerjaan pelacakan.
Pada 24 Desember, polisi Jepang mengonfirmasi bahwa kejadian pencurian DMM Bitcoin dilakukan oleh kelompok hacker Korea Utara Lazarus Group. Analisis rinci tentang serangan dan pencucian uang yang dilakukan oleh Lazarus Group dapat dibaca (Mengulas kelompok pencuri cryptocurrency paling berani dalam sejarah, analisis pencucian uang oleh kelompok hacker Lazarus Group).
No.2 PlayDapp
Kerugian: 290 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 9 Februari 2024, PlayDapp mengalami kerugian besar, hacker mencetak 2 miliar token PLA dengan mencuri kunci pribadi, yang awalnya bernilai 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan hacker tidak membuahkan hasil, hacker dalam waktu singkat mencetak 15,9 miliar token PLA lagi, bernilai 253,9 juta dolar AS. Token-token ini sebagian mengalir ke bursa Gate, setelah itu PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Peristiwa ini menyoroti kekurangan dalam perlindungan kunci pribadi dan penanganan krisis di proyek blockchain.
No.3 WazirX
Kerugian: 235 juta dolar AS
Metode serangan: Serangan siber dan phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet milik bursa cryptocurrency terbesar di India, WazirX, mengalami serangan terencana oleh hacker. Hacker menggunakan rekayasa sosial untuk mendorong penandatangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak dari kontrak yang ditingkatkan untuk mengalihkan semua aset dalam dompet. Kasus ini menyoroti risiko potensial dalam manajemen konfigurasi izin dan transparansi operasi dompet multi-tanda tangan, serta memicu refleksi mendalam tentang mekanisme pengendalian risiko dan keamanan internal proyek.
Analisis mendetail tentang kejadian ini dan pelacakan dana dapat dibaca (Beosin | Analisis kejadian pencurian 235 juta dolar AS di bursa WazirX di India).
No.4 Gala Games
Kerugian: 216 juta dolar AS
Metode serangan: Kerentanan kontrol akses
Pada 20 Mei 2024, alamat istimewa Gala Games diretas oleh hacker, yang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dalam kontrak token. Setelah itu, hacker menukar token yang ditambah tersebut menjadi ETH dalam beberapa tahap, yang menyebabkan kerugian langsung sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi blacklist untuk memblokir beberapa akun hacker dan berusaha memulihkan kerugian melalui jalur hukum.
No.5 Chris Larsen (co-founder Ripple)
Kerugian: 112 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas, mengakibatkan pencurian 112 juta dolar AS dalam bentuk XRP. Dompet tersebut tampaknya menjadi target serangan karena kurangnya perlindungan ganda perangkat keras. Setelah kejadian tersebut, Binance berhasil membekukan 4,2 juta dolar AS dalam bentuk XRP dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan mixing.
No.6 Munchables
Kerugian: 6250 juta dolar AS
Metode serangan: Serangan rekayasa sosial
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang jarang terjadi. Hacker yang menyamar sebagai pengembang blockchain Korea Utara memperoleh kode inti dan kunci sensitif melalui penyamaran jangka panjang. Meskipun serangan ini menyebabkan kerugian besar, hacker akhirnya mengembalikan semua dana yang dicuri karena tekanan dari komunitas dan tim. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
No.7 BtcTurk
Kerugian: 5500 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 5500 juta dolar AS dalam bentuk aset kripto. Dengan bantuan tim Binance, dana yang dicuri senilai 5,3 juta dolar AS berhasil dibekukan, tetapi aset lainnya belum berhasil dipulihkan. Kejadian ini memperdalam kekhawatiran pasar tentang pengelolaan kunci pribadi di bursa terpusat.
BtcTurk secara resmi mengumumkan serangan yang terjadi
No.8 Radiant Capital
Kerugian: 5300 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 17 Oktober 2024, dompet multi-tanda tangan Radiant Capital diretas. Karena menggunakan model verifikasi tanda tangan 3/11 yang rendah, hacker berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain dan memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya mengakibatkan pencurian 5300 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme pemerintahan dompet multi-tanda tangan.
Radiant Capital sebelumnya mengalami kerugian 4,5 juta dolar AS akibat kerentanan kontrak, dengan lebih dari 1900 ETH yang dicuri. Tingkat perhatian proyek Web3 terhadap keamanan masih perlu ditingkatkan.
No.9 Hedgey Finance
Kerugian: 4470 juta dolar AS
Metode serangan: Kerentanan kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak di blockchain. Hacker memanfaatkan kerentanan persetujuan dalam kontrak ClaimCampaigns untuk berhasil menarik token dari dua blockchain, Ethereum dan Arbitrum, dengan total kerugian mencapai 4470 juta dolar AS. Kejadian ini menunjukkan pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.
No.10 BingX
Kerugian: 4470 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 19 September 2024, dompet panas bursa BingX diretas oleh hacker, melibatkan beberapa blockchain termasuk Ethereum, BNB Chain, Tron, dan lainnya. Meskipun bursa segera mengaktifkan mekanisme pemindahan aset dan pembekuan penarikan, hacker berhasil menarik aset senilai 4470 juta dolar AS. Serangan ini mencerminkan tingginya risiko dalam pengelolaan dompet panas bursa terpusat dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangan keamanan yang sering terjadi pada tahun 2024 sekali lagi mengingatkan kita bahwa perkembangan industri blockchain tidak dapat terlepas dari perlindungan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam pengembangan teknologi, regulasi manajemen, dan pengendalian risiko. Ke depan, kami berharap dapat membangun ekosistem blockchain yang lebih aman melalui kolaborasi industri dan inovasi teknologi, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.
