Tinjauan dan Refleksi Sepuluh Kejadian Keamanan Web3 Teratas Tahun 2024
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius di tengah inovasi teknologi dan perluasan ekosistem. Menurut data pemantauan keamanan, total kerugian di bidang Web3 tahun ini akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 2,491 miliar dolar AS.
Peristiwa-peristiwa ini tidak hanya mengungkapkan kekurangan teknis seperti pengelolaan kunci pribadi, celah kontrak pintar, tetapi juga menyoroti potensi risiko dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas tahun 2024, dengan harapan dapat menarik pelajaran dari situasi ini untuk memberikan referensi dalam perlindungan keamanan industri di masa depan.
1. DMM Bitcoin: Kebocoran kunci pribadi menyebabkan kerugian sebesar 304 juta dolar AS
Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar. Para peretas menggunakan kunci pribadi yang bocor untuk langsung memindahkan lebih dari 300 juta dolar AS dalam bentuk Bitcoin, dan dengan cepat mendistribusikan dana yang dicuri ke beberapa alamat. Peristiwa ini mengungkapkan kekurangan serius bursa dalam manajemen kunci pribadi dan perlindungan keamanan berlapis.
Meskipun bursa mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri dengan cepat dipindahkan dan dicuci menggunakan alat pencampur, yang sangat meningkatkan kesulitan untuk memulihkannya. Perlu dicatat bahwa polisi Jepang mengonfirmasi pada 24 Desember bahwa kejadian tersebut adalah ulah kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp: Kebocoran Kunci Pribadi Mengakibatkan Kerugian 2,90 Miliar Dolar
Pada 9 Februari 2024, PlayDapp mengalami kemunduran besar. Hacker mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena pihak proyek gagal bernegosiasi dengan hacker, hacker kemudian mencetak lebih lanjut 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Beberapa token yang dicuri mengalir ke bursa, dan PlayDapp terpaksa menghentikan kontrak PLA dan berpindah ke kontrak token PDA yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan keadaan darurat.
3. Sebuah bursa cryptocurrency di India: Serangan siber dan phishing menyebabkan kerugian sebesar 2,35 miliar dolar
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa cryptocurrency terbesar di India mengalami serangan yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penanda tangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan izin kontrak yang telah ditingkatkan untuk mentransfer semua aset di dalam dompet. Kasus ini menyoroti potensi risiko dompet multi-tanda tangan dalam pengelolaan izin dan transparansi operasi, serta memicu pemikiran mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games: Kerentanan kontrol akses menyebabkan kerugian sebesar 216 juta dolar
Pada tanggal 20 Mei 2024, sebuah alamat istimewa Gala Games diretas. Penyerang dengan memanggil fungsi mint dalam kontrak token, sekaligus mencetak 5 miliar token GALA. Selanjutnya, hacker tersebut menukarkan token-token ini menjadi ETH secara bertahap, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah kejadian tersebut, dan melalui jalur hukum berhasil memulihkan sebagian kerugian.
5. Dompet pribadi co-founder Ripple diserang: $112 juta XRP dicuri
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas oleh hacker, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini mungkin menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Setelah kejadian tersebut, sebuah bursa berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables: Serangan rekayasa sosial menyebabkan kerugian sebesar 62,5 juta dolar
Pada 26 Maret 2024, platform game Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang langka. Penyerang adalah peretas yang menyamar sebagai pengembang blockchain, yang mendapatkan kode inti dan kunci sensitif melalui penyamaran yang lama. Meskipun serangan tersebut mengakibatkan kerugian besar, di bawah tekanan dari komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Sebuah bursa cryptocurrency Turki: Kebocoran kunci pribadi menyebabkan kerugian 55 juta dolar
Pada 22 Juni 2024, bursa kripto terbesar di Turki mengalami serangan kebocoran kunci privat, mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim dari bursa tertentu, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum dapat dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci privat di bursa terpusat.
8. Radiant Capital: Kerentanan dompet multisig menyebabkan kerugian sebesar 53 juta dolar
Pada 17 Oktober 2024, dompet multisignature Radiant Capital diserang oleh peretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, yang mengalihkan kepemilikan kontrak dompet ke alamat jahat, dan akhirnya menyebabkan pencurian sebesar 53 juta USD. Serangan ini memicu refleksi industri tentang desain dompet multisignature dan mekanisme tata kelolanya.
Perlu dicatat bahwa Radiant Capital sebelumnya telah kehilangan 4,5 juta dolar karena kerentanan kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini sekali lagi menekankan adanya ruang untuk peningkatan perhatian terhadap keamanan dari proyek Web3.
9. Hedgey Finance: Kerentanan Kontrak Mengakibatkan Kerugian 44,7 Juta Dolar
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Para peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token di dua jaringan yaitu Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Peristiwa ini menyoroti pentingnya audit kode, terutama dalam verifikasi ketat logika persetujuan token.
10. Salah satu bursa kripto: Dompet panas diretas kehilangan 44,7 juta dolar AS
Pada 19 September 2024, dompet panas sebuah bursa kripto diretas, melibatkan Ethereum, BNB Chain, Tron, dan beberapa blockchain publik lainnya. Meskipun bursa dengan cepat mengaktifkan mekanisme pemindahan aset dan pembekuan penarikan, peretas berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko dalam pengelolaan dompet panas bursa terpusat, dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Kesimpulan
Frekuensi serangan keamanan yang meningkat pada tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak dapat dipisahkan dari perlindungan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Tinjauan 10 Peristiwa Keamanan Web3: Kerugian Mencapai 2,491 Miliar Dolar AS pada 2024
Tinjauan dan Refleksi Sepuluh Kejadian Keamanan Web3 Teratas Tahun 2024
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius di tengah inovasi teknologi dan perluasan ekosistem. Menurut data pemantauan keamanan, total kerugian di bidang Web3 tahun ini akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 2,491 miliar dolar AS.
Peristiwa-peristiwa ini tidak hanya mengungkapkan kekurangan teknis seperti pengelolaan kunci pribadi, celah kontrak pintar, tetapi juga menyoroti potensi risiko dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas tahun 2024, dengan harapan dapat menarik pelajaran dari situasi ini untuk memberikan referensi dalam perlindungan keamanan industri di masa depan.
1. DMM Bitcoin: Kebocoran kunci pribadi menyebabkan kerugian sebesar 304 juta dolar AS
Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar. Para peretas menggunakan kunci pribadi yang bocor untuk langsung memindahkan lebih dari 300 juta dolar AS dalam bentuk Bitcoin, dan dengan cepat mendistribusikan dana yang dicuri ke beberapa alamat. Peristiwa ini mengungkapkan kekurangan serius bursa dalam manajemen kunci pribadi dan perlindungan keamanan berlapis.
Meskipun bursa mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri dengan cepat dipindahkan dan dicuci menggunakan alat pencampur, yang sangat meningkatkan kesulitan untuk memulihkannya. Perlu dicatat bahwa polisi Jepang mengonfirmasi pada 24 Desember bahwa kejadian tersebut adalah ulah kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp: Kebocoran Kunci Pribadi Mengakibatkan Kerugian 2,90 Miliar Dolar
Pada 9 Februari 2024, PlayDapp mengalami kemunduran besar. Hacker mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena pihak proyek gagal bernegosiasi dengan hacker, hacker kemudian mencetak lebih lanjut 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Beberapa token yang dicuri mengalir ke bursa, dan PlayDapp terpaksa menghentikan kontrak PLA dan berpindah ke kontrak token PDA yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan keadaan darurat.
3. Sebuah bursa cryptocurrency di India: Serangan siber dan phishing menyebabkan kerugian sebesar 2,35 miliar dolar
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa cryptocurrency terbesar di India mengalami serangan yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penanda tangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan izin kontrak yang telah ditingkatkan untuk mentransfer semua aset di dalam dompet. Kasus ini menyoroti potensi risiko dompet multi-tanda tangan dalam pengelolaan izin dan transparansi operasi, serta memicu pemikiran mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games: Kerentanan kontrol akses menyebabkan kerugian sebesar 216 juta dolar
Pada tanggal 20 Mei 2024, sebuah alamat istimewa Gala Games diretas. Penyerang dengan memanggil fungsi mint dalam kontrak token, sekaligus mencetak 5 miliar token GALA. Selanjutnya, hacker tersebut menukarkan token-token ini menjadi ETH secara bertahap, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah kejadian tersebut, dan melalui jalur hukum berhasil memulihkan sebagian kerugian.
5. Dompet pribadi co-founder Ripple diserang: $112 juta XRP dicuri
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas oleh hacker, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini mungkin menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Setelah kejadian tersebut, sebuah bursa berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables: Serangan rekayasa sosial menyebabkan kerugian sebesar 62,5 juta dolar
Pada 26 Maret 2024, platform game Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang langka. Penyerang adalah peretas yang menyamar sebagai pengembang blockchain, yang mendapatkan kode inti dan kunci sensitif melalui penyamaran yang lama. Meskipun serangan tersebut mengakibatkan kerugian besar, di bawah tekanan dari komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Sebuah bursa cryptocurrency Turki: Kebocoran kunci pribadi menyebabkan kerugian 55 juta dolar
Pada 22 Juni 2024, bursa kripto terbesar di Turki mengalami serangan kebocoran kunci privat, mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim dari bursa tertentu, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum dapat dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci privat di bursa terpusat.
8. Radiant Capital: Kerentanan dompet multisig menyebabkan kerugian sebesar 53 juta dolar
Pada 17 Oktober 2024, dompet multisignature Radiant Capital diserang oleh peretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, yang mengalihkan kepemilikan kontrak dompet ke alamat jahat, dan akhirnya menyebabkan pencurian sebesar 53 juta USD. Serangan ini memicu refleksi industri tentang desain dompet multisignature dan mekanisme tata kelolanya.
Perlu dicatat bahwa Radiant Capital sebelumnya telah kehilangan 4,5 juta dolar karena kerentanan kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini sekali lagi menekankan adanya ruang untuk peningkatan perhatian terhadap keamanan dari proyek Web3.
9. Hedgey Finance: Kerentanan Kontrak Mengakibatkan Kerugian 44,7 Juta Dolar
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Para peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token di dua jaringan yaitu Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Peristiwa ini menyoroti pentingnya audit kode, terutama dalam verifikasi ketat logika persetujuan token.
10. Salah satu bursa kripto: Dompet panas diretas kehilangan 44,7 juta dolar AS
Pada 19 September 2024, dompet panas sebuah bursa kripto diretas, melibatkan Ethereum, BNB Chain, Tron, dan beberapa blockchain publik lainnya. Meskipun bursa dengan cepat mengaktifkan mekanisme pemindahan aset dan pembekuan penarikan, peretas berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko dalam pengelolaan dompet panas bursa terpusat, dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Kesimpulan
Frekuensi serangan keamanan yang meningkat pada tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak dapat dipisahkan dari perlindungan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.