10 Peristiwa Keamanan Teratas di Bidang Web3 Tahun 2024
Pada tahun 2024, industri Web3 menghadapi tantangan keamanan yang semakin serius sekaligus mengalami perkembangan inovatif. Menurut pemantauan platform data, hingga saat ini, total kerugian di bidang Web3 pada tahun 2024 akibat serangan hacker, penipuan, dan penggelapan dari pihak proyek mencapai 24,91 juta dolar AS.
Peristiwa-peristiwa ini tidak hanya mengungkapkan celah-celah di tingkat teknis seperti pengelolaan kunci pribadi dan kontrak pintar, tetapi juga menyoroti risiko potensial dalam rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas tahun 2024, sebagai referensi untuk industri, agar dapat lebih baik menghadapi ancaman keamanan di masa depan.
1. Peristiwa DMM Bitcoin
Jumlah kerugian: 3,04 juta USD
Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar. Para peretas menggunakan kunci pribadi yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Kejadian ini mengungkapkan kekurangan serius dalam manajemen kunci pribadi dan perlindungan keamanan berlapis dari bursa tersebut.
Meskipun bursa mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri telah dipindahkan secara terdistribusi dan dicuci melalui alat pencampuran, yang secara signifikan meningkatkan kesulitan pelacakan. Pada 24 Desember, polisi Jepang mengkonfirmasi bahwa kejadian tersebut dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. Insiden Serangan PlayDapp
Jumlah Kerugian: 2,90 juta dolar
Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 9 Februari 2024, PlayDapp mengalami pukulan berat. Peretas mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena pihak proyek gagal bernegosiasi dengan peretas, peretas kemudian mencetak 15,9 miliar token PLA, senilai 253,9 juta dolar AS. Setelah sebagian token masuk ke platform perdagangan, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.
3. Dompet multisig WazirX diserang
Jumlah Kerugian: 2,35 juta dolar
Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa kripto terbesar di India, WazirX, mengalami serangan yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, dan kemudian memanfaatkan izin kontrak yang telah ditingkatkan untuk memindahkan semua aset dalam dompet tersebut. Kasus ini mengungkapkan risiko potensial pada konfigurasi izin dan transparansi operasional dompet multi-tanda tangan, serta memicu refleksi mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Peristiwa Peningkatan Token Gala Games
Jumlah Kerugian: 2,16 juta dolar AS
Metode Serangan: Kerentanan Kontrol Akses
Pada tanggal 20 Mei 2024, sebuah alamat istimewa Gala Games diretas. Penyerang menggunakan fungsi mint dari kontrak token untuk mencetak 5 miliar token GALA sekaligus. Setelah itu, hacker menukarkan token-token ini menjadi ETH secara bertahap, yang langsung mengakibatkan kerugian sebesar 216 juta USD. Tim Gala Games segera mengaktifkan fitur daftar hitam untuk memblokir beberapa akun hacker, dan melalui jalur hukum, mereka berhasil memulihkan kerugian tersebut.
5. Dompet pribadi co-founder Ripple dicuri
Jumlah Kerugian: 1,12 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diserang oleh hacker, mengakibatkan pencurian XRP senilai 112 juta USD. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda perangkat keras. Setelah kejadian tersebut, suatu platform pertukaran berhasil membekukan XRP senilai 4,2 juta USD dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Serangan Penetrasi Internal Munchables
Jumlah Kerugian: 62,5 juta dolar AS
Metode Serangan: Serangan rekayasa sosial
Pada 26 Maret 2024, platform game Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang jarang terjadi. Penyerang adalah peretas dari Korea Utara yang menyamar sebagai pengembang blockchain, yang telah mendapatkan kode inti dan kunci sensitif melalui penyamaran jangka panjang. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Kasus Kebocoran Kunci Pribadi BtcTurk
Jumlah Kerugian: 55 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, kehilangan lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan salah satu platform perdagangan, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Dompet Multi-tanda Radiant Capital Diretas
Jumlah Kerugian: 53 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diserang oleh peretas. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang batas rendah, peretas berhasil menguasai kunci privat dari 3 penandatangan untuk melakukan tanda tangan di luar rantai, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian 53 juta dolar. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa, Radiant Capital telah kehilangan 4,5 juta dolar AS dan lebih dari 1900 ETH karena kerentanan kontrak sebelum serangan ini. Ini mencerminkan bahwa proyek Web3 masih perlu meningkatkan perhatian mereka terhadap keamanan.
9. Serangan Kerentanan Kontrak Hedgey Finance
Jumlah Kerugian: 44,7 juta dolar AS
Metode Serangan: Kerentanan Kontrak
Pada tanggal 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Para hacker memanfaatkan celah persetujuan pada kontrak ClaimCampaigns-nya, berhasil mengekstrak token di dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Peristiwa ini menyoroti pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.
10. Dompet Panas BingX Terkena Peretasan
Jumlah kerugian: 44,7 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 19 September 2024, dompet panas di bursa BingX diretas, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, peretas masih berhasil mencuri aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan risiko tinggi dalam pengelolaan dompet panas bursa terpusat, mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangan keamanan sering terjadi pada tahun 2024, mengingatkan kita bahwa pengembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga celah kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, norma manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan jaminan yang lebih andal bagi pengguna dan investor.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kerugian akibat insiden keamanan Web3 pada tahun 2024 hampir mencapai 2,5 miliar dolar AS, dengan kebocoran Kunci Pribadi sebagai penyebab utama.
10 Peristiwa Keamanan Teratas di Bidang Web3 Tahun 2024
Pada tahun 2024, industri Web3 menghadapi tantangan keamanan yang semakin serius sekaligus mengalami perkembangan inovatif. Menurut pemantauan platform data, hingga saat ini, total kerugian di bidang Web3 pada tahun 2024 akibat serangan hacker, penipuan, dan penggelapan dari pihak proyek mencapai 24,91 juta dolar AS.
Peristiwa-peristiwa ini tidak hanya mengungkapkan celah-celah di tingkat teknis seperti pengelolaan kunci pribadi dan kontrak pintar, tetapi juga menyoroti risiko potensial dalam rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas tahun 2024, sebagai referensi untuk industri, agar dapat lebih baik menghadapi ancaman keamanan di masa depan.
1. Peristiwa DMM Bitcoin
Jumlah kerugian: 3,04 juta USD Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar. Para peretas menggunakan kunci pribadi yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Kejadian ini mengungkapkan kekurangan serius dalam manajemen kunci pribadi dan perlindungan keamanan berlapis dari bursa tersebut.
Meskipun bursa mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri telah dipindahkan secara terdistribusi dan dicuci melalui alat pencampuran, yang secara signifikan meningkatkan kesulitan pelacakan. Pada 24 Desember, polisi Jepang mengkonfirmasi bahwa kejadian tersebut dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. Insiden Serangan PlayDapp
Jumlah Kerugian: 2,90 juta dolar Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 9 Februari 2024, PlayDapp mengalami pukulan berat. Peretas mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena pihak proyek gagal bernegosiasi dengan peretas, peretas kemudian mencetak 15,9 miliar token PLA, senilai 253,9 juta dolar AS. Setelah sebagian token masuk ke platform perdagangan, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.
3. Dompet multisig WazirX diserang
Jumlah Kerugian: 2,35 juta dolar Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa kripto terbesar di India, WazirX, mengalami serangan yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, dan kemudian memanfaatkan izin kontrak yang telah ditingkatkan untuk memindahkan semua aset dalam dompet tersebut. Kasus ini mengungkapkan risiko potensial pada konfigurasi izin dan transparansi operasional dompet multi-tanda tangan, serta memicu refleksi mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Peristiwa Peningkatan Token Gala Games
Jumlah Kerugian: 2,16 juta dolar AS Metode Serangan: Kerentanan Kontrol Akses
Pada tanggal 20 Mei 2024, sebuah alamat istimewa Gala Games diretas. Penyerang menggunakan fungsi mint dari kontrak token untuk mencetak 5 miliar token GALA sekaligus. Setelah itu, hacker menukarkan token-token ini menjadi ETH secara bertahap, yang langsung mengakibatkan kerugian sebesar 216 juta USD. Tim Gala Games segera mengaktifkan fitur daftar hitam untuk memblokir beberapa akun hacker, dan melalui jalur hukum, mereka berhasil memulihkan kerugian tersebut.
5. Dompet pribadi co-founder Ripple dicuri
Jumlah Kerugian: 1,12 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diserang oleh hacker, mengakibatkan pencurian XRP senilai 112 juta USD. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda perangkat keras. Setelah kejadian tersebut, suatu platform pertukaran berhasil membekukan XRP senilai 4,2 juta USD dan membantu Larsen melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Serangan Penetrasi Internal Munchables
Jumlah Kerugian: 62,5 juta dolar AS Metode Serangan: Serangan rekayasa sosial
Pada 26 Maret 2024, platform game Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang jarang terjadi. Penyerang adalah peretas dari Korea Utara yang menyamar sebagai pengembang blockchain, yang telah mendapatkan kode inti dan kunci sensitif melalui penyamaran jangka panjang. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Kasus Kebocoran Kunci Pribadi BtcTurk
Jumlah Kerugian: 55 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, kehilangan lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan salah satu platform perdagangan, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Dompet Multi-tanda Radiant Capital Diretas
Jumlah Kerugian: 53 juta dolar AS
Metode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diserang oleh peretas. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang batas rendah, peretas berhasil menguasai kunci privat dari 3 penandatangan untuk melakukan tanda tangan di luar rantai, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian 53 juta dolar. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa, Radiant Capital telah kehilangan 4,5 juta dolar AS dan lebih dari 1900 ETH karena kerentanan kontrak sebelum serangan ini. Ini mencerminkan bahwa proyek Web3 masih perlu meningkatkan perhatian mereka terhadap keamanan.
9. Serangan Kerentanan Kontrak Hedgey Finance
Jumlah Kerugian: 44,7 juta dolar AS Metode Serangan: Kerentanan Kontrak
Pada tanggal 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Para hacker memanfaatkan celah persetujuan pada kontrak ClaimCampaigns-nya, berhasil mengekstrak token di dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Peristiwa ini menyoroti pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.
10. Dompet Panas BingX Terkena Peretasan
Jumlah kerugian: 44,7 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 19 September 2024, dompet panas di bursa BingX diretas, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, peretas masih berhasil mencuri aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan risiko tinggi dalam pengelolaan dompet panas bursa terpusat, mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangan keamanan sering terjadi pada tahun 2024, mengingatkan kita bahwa pengembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga celah kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, norma manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan jaminan yang lebih andal bagi pengguna dan investor.