Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Kerugian Hampir 2 Miliar Dolar, Lebih dari 1,5 Miliar Dolar Telah Dipulihkan atau Dibayar
Terdapat ratusan blockchain publik dalam ekosistem blockchain, namun karena banyaknya rantai yang kekurangan aset utama, diperlukan untuk mendapatkan aset melalui jembatan lintas rantai dari blockchain publik utama seperti Ethereum. Baru-baru ini, insiden keamanan sering terjadi di bidang DeFi, dan jembatan lintas rantai menjadi target utama para penyerang karena likuiditas dana yang tinggi. Artikel ini akan meninjau sepuluh insiden serangan jembatan lintas rantai yang signifikan yang terjadi di masa lalu, merangkum pelajaran yang dapat diambil untuk mengingatkan tim pengembang dan pengguna agar tetap waspada.
Perlu dicatat bahwa proyek jembatan lintas rantai dengan latar belakang yang kuat dan dana yang cukup, setelah mengalami kecelakaan keamanan, seringkali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna. Oleh karena itu, ketika memilih jembatan lintas rantai, mempertimbangkan kekuatan dan reputasi pihak proyek juga merupakan langkah bijak.
ChainSwap: Kerugian 8 juta dolar AS, proyek dimulai kembali
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker berturut-turut, dengan total kerugian sekitar 8,8 juta dolar AS. Serangan kedua memiliki dampak yang lebih luas, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Survei menunjukkan bahwa penyebab serangan adalah protokol yang tidak secara ketat memverifikasi keabsahan tanda tangan, sehingga penyerang dapat menggunakan tanda tangan yang mereka buat sendiri untuk menyelesaikan transaksi. Karena kerugian terutama melibatkan token tata kelola proyek, termasuk ChainSwap, beberapa proyek yang terpengaruh memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengganti pemegang token dan penyedia likuiditas.
Jaringan Poly: $610 juta dicuri, seluruhnya berhasil dipulihkan
Pada 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network mengalami serangan besar-besaran, dengan total kerugian sekitar 610 juta dolar AS di Ethereum, Binance Smart Chain, dan Polygon.
Penyerang memanfaatkan celah dalam logika manajemen hak kontrak Poly Network, dengan mengubah alamat validator di rantai target, berhasil memindahkan sejumlah besar aset. Meskipun teknik serangannya canggih, peretas akhirnya mengembalikan semua dana yang dicuri. Poly Network kemudian menyebutnya sebagai peretas "topi putih" dan mengusulkan untuk mengontraknya sebagai kepala penasihat keamanan.
Multichain: Kerugian 6 juta dolar, sebagian sudah dibayar
Pada Januari 2022, Multichain menemukan celah besar yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki, masih ada sebagian pengguna yang mengalami kerugian sekitar 6,04 juta dolar AS karena tidak segera mencabut otorisasi.
Tim keamanan Slow Fog menganalisis bahwa penyebab serangan adalah adanya celah pada Multichain saat memverifikasi keabsahan token yang dimasukkan oleh pengguna, yang tidak mempertimbangkan bahwa tidak semua token dasar mengimplementasikan fungsi permit. Setelah kejadian, hampir 50% dari dana yang dicuri telah berhasil dipulihkan, dan pihak proyek juga telah mengajukan rencana kompensasi.
QBridge: Kerugian 80 juta dolar, kemajuan pembayaran lambat
Pada 28 Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta USD.
Penyerang memanfaatkan kerentanan QBridge yang tidak memeriksa alamat nol lagi saat memproses transfer token yang terdaftar dalam daftar putih. Dengan mengatur alamat token ERC20 ke alamat nol, penyerang mencetak sejumlah besar token xETH di BSC tanpa menyetor token apa pun dan menggunakan ini sebagai jaminan untuk meminjam token lainnya.
Saat ini, penggunaan Qubit telah menurun drastis, 98% dari dana yang dicuri belum mendapatkan kompensasi.
Meter.io: Kerugian 4,4 juta dolar AS, berjanji akan membayar keuntungan di masa depan
Pada 6 Februari 2022, jembatan lintas rantai Meter Passport diserang, menyebabkan kerugian sebesar 4,4 juta dolar.
Meter resmi menyatakan bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber ekstensi mereka, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH. Pihak proyek awalnya berencana untuk mengganti kerugian dengan token MTRG, tetapi kemudian memutuskan untuk menerbitkan token PASS baru sebagai ganti rugi, dan berjanji untuk membeli kembali token-token ini dengan pendapatan di masa depan.
Ronin: 620 juta dolar AS dicuri, telah dibayar penuh
Pada bulan Maret 2022, blockchain Ronin yang mendukung Axie Infinity mengalami insiden keamanan besar, dengan kerugian sekitar 620 juta dolar AS. Serangan ini sebenarnya terjadi pada tanggal 23 Maret, tetapi baru terdeteksi enam hari kemudian.
Sebuah survei menunjukkan bahwa penyerang mendapatkan kepercayaan karyawan Sky Mavis melalui teknik rekayasa sosial, dan kemudian mengendalikan beberapa node validasi di jaringan Ronin. Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis menyediakan kompensasi untuk pengguna melalui pendanaan sebesar 150 juta dolar.
Wormhole: Kerugian 326 juta dolar AS, telah dibayar penuh
Pada 3 Februari 2022, protokol interoperabilitas lintas rantai Wormhole diserang, kehilangan sekitar 120.000 ETH, senilai 3,26 miliar dolar AS.
Alasan serangan adalah adanya kerentanan dalam kode verifikasi tanda tangan kontrak inti Wormhole di sisi Solana, yang memungkinkan penyerang untuk memalsukan pesan "penjaga" untuk mencetak whETH. Setelah kejadian tersebut, Jump Crypto dengan cepat menginvestasikan 120.000 ETH untuk menutupi kerugian, sehingga Wormhole dapat kembali beroperasi.
EvoDeFi: Estimasi kerugian mencapai puluhan juta dolar, belum teratasi
Pada 7 Juni 2022, USDT di DEX ValleySwap dalam ekosistem Oasis mengalami depeg yang serius. Masalah ini disebabkan oleh kurangnya likuiditas di rantai sumber pada jembatan lintas rantai EVODeFi yang digunakan.
Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan berada di tingkat puluhan juta dolar. Sayangnya, baik Oasis resmi, ValleySwap, maupun EVODeFi belum dapat memberikan solusi yang efektif untuk pengguna.
Horizon: Kerugian hampir 100 juta USD, rencana kompensasi sedang disusun.
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, menyebabkan kerugian dana sekitar 100 juta dolar.
Pendiri Harmony, Stephen Tse, mengakui bahwa serangan tersebut mungkin disebabkan oleh kebocoran kunci pribadi. Pihak proyek pernah mengusulkan untuk mengganti kerugian pengguna dengan menerbitkan lebih banyak token ONE dalam 3 tahun, tetapi proposal tersebut tidak mendapatkan persetujuan komunitas secara keseluruhan. Saat ini, rencana kompensasi baru sedang disusun.
Nomad: $190 juta dicuri, sebagian dana diharapkan dapat dipulihkan
Pada 2 Agustus 2022, jembatan lintas rantai Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya dana sebesar 190 juta USD. Peristiwa ini juga berdampak pada protokol interoperabilitas Layer2 Connext, menyebabkan kerugian sekitar 3,34 juta USD.
Analisis menunjukkan bahwa serangan berasal dari Nomad yang secara keliru menginisialisasi root kepercayaan menjadi 0x00 dalam pembaruan kontrak, memungkinkan siapa pun untuk dengan mudah menarik dana dari cross-chain bridges. Saat ini, beberapa hacker topi putih telah menyatakan bersedia mengembalikan dana, tetapi pihak proyek belum memberikan rencana kompensasi yang jelas.
Kesimpulan
Frekuensi kecelakaan keamanan pada jembatan lintas rantai menyoroti tingginya risiko di bidang ini. Bahkan proyek jembatan lintas rantai besar yang terkemuka, seperti Multichain, Portal (Wormhole), dan Poly Network, juga pernah mengalami masalah keamanan. Ini memperingatkan kita bahwa setiap jembatan lintas rantai dapat menghadapi ancaman keamanan.
Namun, kami juga mengamati bahwa proyek dengan latar belakang yang kuat dan dana yang cukup sering kali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna ketika menghadapi insiden keamanan. Misalnya, Poly Network, Ronin Network, dan Wormhole, setelah mengalami pencurian dana besar-besaran, semuanya dapat menemukan kembali dana atau memberikan kompensasi yang memadai.
Selain itu, pemantauan waktu nyata dan respons cepat dari pihak proyek juga sangat penting. Seperti Hop Protocol dan StarGate yang segera bertindak setelah menerima laporan aktivitas mencurigakan, berhasil mencegah potensi serangan.
Oleh karena itu, bagi pengguna, dalam memilih jembatan cross-chain, selain mempertimbangkan faktor teknis, juga harus mengevaluasi latar belakang proyek, kekuatan finansial, dan kemampuan dalam menghadapi risiko. Bagi tim pengembang, audit keamanan yang berkelanjutan, perbaikan kerentanan yang tepat waktu, dan mekanisme respons darurat yang lengkap adalah elemen kunci untuk memastikan keamanan jembatan cross-chain.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Tinjauan Keamanan Jembatan Lintas Rantai: Kerugian 2 Miliar Dolar, 75% Sudah Dipulihkan atau Dibayar
Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Kerugian Hampir 2 Miliar Dolar, Lebih dari 1,5 Miliar Dolar Telah Dipulihkan atau Dibayar
Terdapat ratusan blockchain publik dalam ekosistem blockchain, namun karena banyaknya rantai yang kekurangan aset utama, diperlukan untuk mendapatkan aset melalui jembatan lintas rantai dari blockchain publik utama seperti Ethereum. Baru-baru ini, insiden keamanan sering terjadi di bidang DeFi, dan jembatan lintas rantai menjadi target utama para penyerang karena likuiditas dana yang tinggi. Artikel ini akan meninjau sepuluh insiden serangan jembatan lintas rantai yang signifikan yang terjadi di masa lalu, merangkum pelajaran yang dapat diambil untuk mengingatkan tim pengembang dan pengguna agar tetap waspada.
Perlu dicatat bahwa proyek jembatan lintas rantai dengan latar belakang yang kuat dan dana yang cukup, setelah mengalami kecelakaan keamanan, seringkali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna. Oleh karena itu, ketika memilih jembatan lintas rantai, mempertimbangkan kekuatan dan reputasi pihak proyek juga merupakan langkah bijak.
ChainSwap: Kerugian 8 juta dolar AS, proyek dimulai kembali
Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker berturut-turut, dengan total kerugian sekitar 8,8 juta dolar AS. Serangan kedua memiliki dampak yang lebih luas, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Survei menunjukkan bahwa penyebab serangan adalah protokol yang tidak secara ketat memverifikasi keabsahan tanda tangan, sehingga penyerang dapat menggunakan tanda tangan yang mereka buat sendiri untuk menyelesaikan transaksi. Karena kerugian terutama melibatkan token tata kelola proyek, termasuk ChainSwap, beberapa proyek yang terpengaruh memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengganti pemegang token dan penyedia likuiditas.
Jaringan Poly: $610 juta dicuri, seluruhnya berhasil dipulihkan
Pada 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network mengalami serangan besar-besaran, dengan total kerugian sekitar 610 juta dolar AS di Ethereum, Binance Smart Chain, dan Polygon.
Penyerang memanfaatkan celah dalam logika manajemen hak kontrak Poly Network, dengan mengubah alamat validator di rantai target, berhasil memindahkan sejumlah besar aset. Meskipun teknik serangannya canggih, peretas akhirnya mengembalikan semua dana yang dicuri. Poly Network kemudian menyebutnya sebagai peretas "topi putih" dan mengusulkan untuk mengontraknya sebagai kepala penasihat keamanan.
Multichain: Kerugian 6 juta dolar, sebagian sudah dibayar
Pada Januari 2022, Multichain menemukan celah besar yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki, masih ada sebagian pengguna yang mengalami kerugian sekitar 6,04 juta dolar AS karena tidak segera mencabut otorisasi.
Tim keamanan Slow Fog menganalisis bahwa penyebab serangan adalah adanya celah pada Multichain saat memverifikasi keabsahan token yang dimasukkan oleh pengguna, yang tidak mempertimbangkan bahwa tidak semua token dasar mengimplementasikan fungsi permit. Setelah kejadian, hampir 50% dari dana yang dicuri telah berhasil dipulihkan, dan pihak proyek juga telah mengajukan rencana kompensasi.
QBridge: Kerugian 80 juta dolar, kemajuan pembayaran lambat
Pada 28 Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta USD.
Penyerang memanfaatkan kerentanan QBridge yang tidak memeriksa alamat nol lagi saat memproses transfer token yang terdaftar dalam daftar putih. Dengan mengatur alamat token ERC20 ke alamat nol, penyerang mencetak sejumlah besar token xETH di BSC tanpa menyetor token apa pun dan menggunakan ini sebagai jaminan untuk meminjam token lainnya.
Saat ini, penggunaan Qubit telah menurun drastis, 98% dari dana yang dicuri belum mendapatkan kompensasi.
Meter.io: Kerugian 4,4 juta dolar AS, berjanji akan membayar keuntungan di masa depan
Pada 6 Februari 2022, jembatan lintas rantai Meter Passport diserang, menyebabkan kerugian sebesar 4,4 juta dolar.
Meter resmi menyatakan bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber ekstensi mereka, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH. Pihak proyek awalnya berencana untuk mengganti kerugian dengan token MTRG, tetapi kemudian memutuskan untuk menerbitkan token PASS baru sebagai ganti rugi, dan berjanji untuk membeli kembali token-token ini dengan pendapatan di masa depan.
Ronin: 620 juta dolar AS dicuri, telah dibayar penuh
Pada bulan Maret 2022, blockchain Ronin yang mendukung Axie Infinity mengalami insiden keamanan besar, dengan kerugian sekitar 620 juta dolar AS. Serangan ini sebenarnya terjadi pada tanggal 23 Maret, tetapi baru terdeteksi enam hari kemudian.
Sebuah survei menunjukkan bahwa penyerang mendapatkan kepercayaan karyawan Sky Mavis melalui teknik rekayasa sosial, dan kemudian mengendalikan beberapa node validasi di jaringan Ronin. Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis menyediakan kompensasi untuk pengguna melalui pendanaan sebesar 150 juta dolar.
Wormhole: Kerugian 326 juta dolar AS, telah dibayar penuh
Pada 3 Februari 2022, protokol interoperabilitas lintas rantai Wormhole diserang, kehilangan sekitar 120.000 ETH, senilai 3,26 miliar dolar AS.
Alasan serangan adalah adanya kerentanan dalam kode verifikasi tanda tangan kontrak inti Wormhole di sisi Solana, yang memungkinkan penyerang untuk memalsukan pesan "penjaga" untuk mencetak whETH. Setelah kejadian tersebut, Jump Crypto dengan cepat menginvestasikan 120.000 ETH untuk menutupi kerugian, sehingga Wormhole dapat kembali beroperasi.
EvoDeFi: Estimasi kerugian mencapai puluhan juta dolar, belum teratasi
Pada 7 Juni 2022, USDT di DEX ValleySwap dalam ekosistem Oasis mengalami depeg yang serius. Masalah ini disebabkan oleh kurangnya likuiditas di rantai sumber pada jembatan lintas rantai EVODeFi yang digunakan.
Meskipun jumlah kerugian yang tepat tidak diketahui, diperkirakan berada di tingkat puluhan juta dolar. Sayangnya, baik Oasis resmi, ValleySwap, maupun EVODeFi belum dapat memberikan solusi yang efektif untuk pengguna.
Horizon: Kerugian hampir 100 juta USD, rencana kompensasi sedang disusun.
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, menyebabkan kerugian dana sekitar 100 juta dolar.
Pendiri Harmony, Stephen Tse, mengakui bahwa serangan tersebut mungkin disebabkan oleh kebocoran kunci pribadi. Pihak proyek pernah mengusulkan untuk mengganti kerugian pengguna dengan menerbitkan lebih banyak token ONE dalam 3 tahun, tetapi proposal tersebut tidak mendapatkan persetujuan komunitas secara keseluruhan. Saat ini, rencana kompensasi baru sedang disusun.
Nomad: $190 juta dicuri, sebagian dana diharapkan dapat dipulihkan
Pada 2 Agustus 2022, jembatan lintas rantai Nomad mengalami kecelakaan keamanan besar, yang mengakibatkan hilangnya dana sebesar 190 juta USD. Peristiwa ini juga berdampak pada protokol interoperabilitas Layer2 Connext, menyebabkan kerugian sekitar 3,34 juta USD.
Analisis menunjukkan bahwa serangan berasal dari Nomad yang secara keliru menginisialisasi root kepercayaan menjadi 0x00 dalam pembaruan kontrak, memungkinkan siapa pun untuk dengan mudah menarik dana dari cross-chain bridges. Saat ini, beberapa hacker topi putih telah menyatakan bersedia mengembalikan dana, tetapi pihak proyek belum memberikan rencana kompensasi yang jelas.
Kesimpulan
Frekuensi kecelakaan keamanan pada jembatan lintas rantai menyoroti tingginya risiko di bidang ini. Bahkan proyek jembatan lintas rantai besar yang terkemuka, seperti Multichain, Portal (Wormhole), dan Poly Network, juga pernah mengalami masalah keamanan. Ini memperingatkan kita bahwa setiap jembatan lintas rantai dapat menghadapi ancaman keamanan.
Namun, kami juga mengamati bahwa proyek dengan latar belakang yang kuat dan dana yang cukup sering kali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna ketika menghadapi insiden keamanan. Misalnya, Poly Network, Ronin Network, dan Wormhole, setelah mengalami pencurian dana besar-besaran, semuanya dapat menemukan kembali dana atau memberikan kompensasi yang memadai.
Selain itu, pemantauan waktu nyata dan respons cepat dari pihak proyek juga sangat penting. Seperti Hop Protocol dan StarGate yang segera bertindak setelah menerima laporan aktivitas mencurigakan, berhasil mencegah potensi serangan.
Oleh karena itu, bagi pengguna, dalam memilih jembatan cross-chain, selain mempertimbangkan faktor teknis, juga harus mengevaluasi latar belakang proyek, kekuatan finansial, dan kemampuan dalam menghadapi risiko. Bagi tim pengembang, audit keamanan yang berkelanjutan, perbaikan kerentanan yang tepat waktu, dan mekanisme respons darurat yang lengkap adalah elemen kunci untuk memastikan keamanan jembatan cross-chain.