Sumber artikel: Beosin
Sumber asli: Beosin
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius seiring dengan inovasi teknologi dan ekspansi ekosistem. Menurut laporan dari perusahaan audit keamanan Beosin melalui platform Alert, hingga saat ini, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan rug pull dari pihak proyek mencapai 2,491 miliar dolar AS.
Insiden-insiden ini tidak hanya mengungkapkan kekurangan teknis dalam pengelolaan kunci pribadi, kerentanan kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan mengulas sepuluh insiden keamanan Web3 paling signifikan pada tahun 2024, membantu industri belajar dari pengalaman tersebut untuk lebih baik menghadapi ancaman keamanan di masa depan.
No.1 DMM Bitcoin
Jumlah Kerugian: 304 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Mei 2024, bursa cryptocurrency Jepang yang sudah mapan, DMM Bitcoin, mengalami serangan bersejarah. Penyerang memanfaatkan kunci pribadi yang bocor untuk secara langsung mentransfer lebih dari 300 juta dolar AS dalam Bitcoin, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Serangan ini mengungkapkan kurangnya pengelolaan kunci pribadi dan perlindungan keamanan berlapis di DMM Bitcoin. Meskipun bursa mencoba melacak hacker melalui pemantauan rantai dan membekukan dana, Bitcoin yang dicuri telah tersebar dan dicuci menggunakan alat pengacakan, memberikan tantangan besar bagi upaya pelacakan.
Pada 24 Desember, polisi Jepang mengidentifikasi bahwa insiden pencurian DMM Bitcoin dilakukan oleh kelompok hacker Korea Utara, Lazarus Group.
No.2 PlayDapp
Jumlah Kerugian: 290 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 9 Februari 2024, PlayDapp mengalami kerugian besar, hacker mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan hacker gagal, hacker dalam waktu singkat mencetak lebih lanjut 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Beberapa token ini mengalir ke bursa Gate, setelah itu PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Insiden ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat insiden.
No.3 WazirX
Jumlah Kerugian: 235 juta dolar AS
Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multisig Safe Wallet dari bursa cryptocurrency terbesar di India, WazirX, mengalami serangan terencana dari hacker. Penyerang menggunakan rekayasa sosial untuk membujuk penandatangan multisig untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak akses kontrak yang ditingkatkan untuk memindahkan semua aset di dompet. Kasus ini menyoroti risiko potensial dalam pengaturan hak manajemen dan transparansi operasional dompet multisig, serta memicu refleksi mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
Untuk analisis mendetail tentang insiden ini dan pelacakan dana, silakan baca (Beosin | Analisis Insiden Pencurian 235 juta dolar AS dari Bursa WazirX di India).
No.4 Gala Games
Jumlah Kerugian: 216 juta dolar AS
Metode Serangan: Kerentanan Kontrol Akses
Pada 20 Mei 2024, salah satu alamat privilese Gala Games diretas, penyerang melalui pemanggilan fungsi mint dalam kontrak token, mencetak 5 miliar token GALA sekaligus. Kemudian, hacker menukarkan token yang ditingkatkan dalam beberapa batch menjadi ETH, menyebabkan kerugian langsung sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir sebagian akun hacker setelah insiden dan melalui jalur hukum untuk memulihkan kerugian.
No.5 Chris Larsen (co-founder Ripple)
Jumlah Kerugian: 112 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi dari co-founder Ripple, Chris Larsen, diretas oleh hacker, mengakibatkan pencurian 112 juta dolar AS dalam XRP. Dompet tersebut diduga menjadi target serangan karena kurangnya perlindungan ganda perangkat keras. Setelah insiden, Binance berhasil membekukan 4,2 juta dolar AS dalam XRP dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pengacakan.
No.6 Munchables
Jumlah Kerugian: 62,5 juta dolar AS
Metode Serangan: Serangan Rekayasa Sosial
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang jarang terjadi. Penyerang adalah hacker Korea Utara yang menyamar sebagai pengembang blockchain, yang mengakses kode inti dan kunci sensitif melalui infiltrasi jangka panjang. Meskipun serangan ini menyebabkan kerugian besar, hacker akhirnya mengembalikan semua dana yang dicuri karena tekanan dari komunitas dan tim. Insiden ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan oleh pihak ketiga.
No.7 BtcTurk
Jumlah Kerugian: 55 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim Binance, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Insiden ini memperdalam kekhawatiran pasar tentang pengelolaan kunci pribadi di bursa terpusat.
Pengumuman resmi BtcTurk tentang serangan
No.8 Radiant Capital
Jumlah Kerugian: 53 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig dari Radiant Capital diretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas rendah, hacker dengan menguasai kunci pribadi dari 3 penandatangan memulai tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, sehingga menyebabkan 53 juta dolar AS dicuri. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisig.
Sebelum serangan ini, Radiant Capital telah kehilangan 4,5 juta dolar AS akibat kerentanan kontrak, dengan lebih dari 1900 ETH dicuri. Proyek Web3 perlu meningkatkan perhatian mereka terhadap keamanan.
No.9 Hedgey Finance
Jumlah Kerugian: 44,7 juta dolar AS
Metode Serangan: Kerentanan Kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak di rantai. Hacker memanfaatkan kerentanan persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token di dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Insiden ini menunjukkan pentingnya audit kode, terutama dalam verifikasi logika persetujuan token.
No.10 BingX
Jumlah Kerugian: 44,7 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 19 September 2024, dompet panas dari bursa BingX diretas oleh hacker, dengan rantai yang terlibat mencakup Ethereum, BNB Chain, Tron, dan beberapa rantai publik lainnya. Meskipun bursa dengan cepat meluncurkan mekanisme pemindahan aset dan pembekuan penarikan, hacker berhasil mengekstrak aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko pengelolaan dompet panas di bursa terpusat, dan lebih lanjut mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangan keamanan yang sering terjadi pada tahun 2024 sekali lagi mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari pengawalan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap insiden memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, regulasi manajemen, dan pengendalian risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.
