Keuangan Desentralisasi Kejadian Keamanan: Analisis Insiden Besar 2022

Pada tahun 2022, industri Web3 mengalami beberapa kejadian keamanan besar, dengan total kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara mendalam delapan kasus tipikal, yang sebagian besar melibatkan kerugian lebih dari 100 juta dolar AS.

Peristiwa Ronin Bridge

Pada Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan, kehilangan 173.6 ribu ETH dan 25.5 juta USD, dengan total nilai sekitar 625 juta USD. Penyerang berhasil menyusup ke sistem perusahaan Sky Mavis melalui teknik rekayasa sosial, dan akhirnya mengendalikan 5 dari 9 node validasi, sehingga melakukan serangan. Insiden ini mengungkapkan lemahnya kesadaran keamanan karyawan perusahaan dan adanya celah dalam sistem keamanan internal.

Peristiwa Wormhole

Jembatan lintas rantai Wormhole mengalami kerugian sekitar 120.000 ETH karena kesalahan dalam kode verifikasi tanda tangan kontrak inti di sisi Solana, yang memungkinkan penyerang untuk memalsukan pesan "penjaga" dan mencetak ETH yang dibungkus. Masalah ini berasal dari penggunaan fungsi yang sudah usang, mengingatkan para pengembang untuk segera memperbarui dan menggunakan versi terbaru, untuk menghindari masalah serupa.

Peristiwa Jembatan Nomad

Jembatan Nomad mengalami masalah pengaturan inisialisasi, yang memungkinkan penyerang untuk membuat pesan sembarang untuk menarik dana yang terkunci, menyebabkan kerugian sekitar 190 juta USD. Peristiwa ini berkembang menjadi "pertempuran perampokan uang", di mana sekitar 41 alamat meraih keuntungan 152 juta USD, termasuk robot MEV, hacker, dan hacker putih. Ini menunjukkan tantangan keamanan yang dihadapi proyek open-source, di mana adanya celah dapat menyebabkan kegagalan proyek.

Peristiwa Beanstalk

Proyek stablecoin algoritmik Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta dolar AS. Penyerang memanfaatkan celah dalam mekanisme proposal proyek untuk mendapatkan banyak hak suara melalui pinjaman kilat, mengajukan proposal jahat dan segera mengeksekusinya. Ini mencerminkan risiko yang mungkin ada dalam mekanisme pemerintahan yang sepenuhnya terdesentralisasi, mengingatkan pihak proyek untuk mempertimbangkan dengan hati-hati mekanisme peninjauan proposal, distribusi bobot suara, dan langkah-langkah keamanan seperti penguncian waktu.

Peristiwa Wintermute

Penyedia likuiditas Wintermute mengalami kerugian besar akibat penggunaan alat pembuatan alamat Profanity yang memiliki celah. Hal ini mengakibatkan kunci privat pemilik kontrak terkompromi. Ini mengingatkan pihak proyek untuk melakukan evaluasi keamanan yang memadai saat menggunakan alat sumber terbuka.

Peristiwa Jembatan Harmony

Jembatan lintas rantai Horizon kehilangan lebih dari 100 juta dolar AS, diduga disebabkan oleh kebocoran kunci privat. Analisis menunjukkan bahwa peristiwa ini mungkin terkait dengan kelompok peretas Korea Utara, Lazarus Group, yang metode serangannya mirip dengan peristiwa Ronin Bridge.

Peristiwa Ankr

Ankr mengalami tindakan jahat internal, yang menyebabkan banyak token dicetak dan dijual secara jahat, yang kemudian memicu reaksi berantai yang mempengaruhi proyek terkait lainnya. Ini mengungkapkan adanya cacat serius dalam manajemen izin, tanda tangan ganda, dan sistem keamanan internal proyek.

Peristiwa Mango

Seorang trader memanfaatkan celah kurangnya likuiditas pada token kecil di platform Mango, memperoleh keuntungan melalui manipulasi harga token dan menyebabkan kerugian besar bagi platform. Peristiwa ini berada di antara celah keamanan dan perilaku arbitrase, mencerminkan bahwa proyek perlu mempertimbangkan berbagai situasi ekstrem saat merancang model bisnis.

Kasus-kasus ini memperingatkan kita bahwa proyek Web3 menghadapi berbagai tantangan keamanan. Pihak proyek perlu memperkuat perlindungan keamanan dari berbagai aspek seperti audit kode, manajemen izin, dan logika bisnis. Sementara itu, pengguna juga harus tetap waspada saat berpartisipasi dalam proyek dan secara menyeluruh mengevaluasi risiko yang mungkin ada.