Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Analisis 10 Kasus Serangan Besar
Dalam ekosistem blockchain terdapat banyak blockchain publik, tetapi karena kurangnya aset utama, banyak proyek terpaksa bergantung pada jembatan lintas rantai untuk mendapatkan aset dari blockchain publik utama seperti Ethereum. Namun, baru-baru ini insiden keamanan di bidang DeFi sering terjadi, dan jembatan lintas rantai menjadi target utama para penyerang karena aliran dana yang besar dan operasi yang sering. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai yang signifikan yang terjadi di masa lalu, mengingatkan tim pengembang untuk selalu waspada terhadap risiko keamanan. Perlu dicatat bahwa proyek jembatan lintas rantai dengan latar belakang yang kuat seringkali lebih mampu untuk memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan, sehingga pengguna memilih jembatan lintas rantai yang lebih kuat mungkin akan lebih aman.
ChainSwap: Kerugian 8 juta dolar, penerbitan ulang token
Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan hacker secara berturut-turut, yang pertama menyebabkan kerugian sekitar 800.000 dolar AS, dan yang kedua merugikan hingga 8.000.000 dolar AS. Serangan kedua memiliki dampak yang lebih luas, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Setelah penyelidikan, penyebab kecelakaan adalah karena protokol tidak secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang untuk menggunakan tanda tangan yang dihasilkan sendiri untuk memberikan otorisasi pada transaksi. Karena kerugian terutama melibatkan token tata kelola dari pihak proyek, termasuk ChainSwap, beberapa proyek memutuskan untuk melakukan snapshot dan menerbitkan token baru untuk mengompensasi pemegang token dan penyedia likuiditas.
Jaringan Poly: 610 juta dolar dicuri, seluruhnya berhasil dipulihkan
Pada tanggal 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network mengalami serangan besar-besaran, kehilangan aset sebesar 250 juta, 270 juta, dan 85 juta dolar AS di jaringan Ethereum, Binance Smart Chain, dan Polygon, dengan total kerugian mencapai 610 juta dolar AS.
Serangan terutama memanfaatkan celah dalam logika manajemen hak kontrak Poly Network. Penyerang berhasil mengubah alamat validator di rantai target, sehingga mendapatkan hak tanda tangan untuk transfer aset. Meskipun penyerang awalnya menggunakan token privasi XMR sebagai sumber dana, akhirnya mereka memilih untuk mengembalikan semua dana yang dicuri. Poly Network kemudian menyebutnya sebagai "hacker topi putih" dan mengusulkan untuk mempekerjakan mereka sebagai kepala keamanan perusahaan.
Multichain: Kerugian 6 juta dolar, sebagian dana telah dipulihkan
Pada Januari 2022, Multichain menemukan celah penting yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki, masih ada beberapa pengguna yang mengalami kerugian karena tidak segera mencabut otorisasi. Menurut statistik, total 1889.6612 WETH dan 833.4191 AVAX dicuri, yang diperkirakan bernilai sekitar 6 juta dolar AS berdasarkan harga saat itu.
Tim keamanan Slow Fog menganalisis dan menunjukkan bahwa insiden ini disebabkan oleh kelalaian Multichain dalam memverifikasi keabsahan Token yang dikirim oleh pengguna, yang tidak mempertimbangkan bahwa tidak semua token underlying mengimplementasikan fungsi permit. Hingga laporan penyelidikan resmi dirilis, hampir 50% dari dana yang dicuri telah berhasil dipulihkan. Tim telah mengajukan proposal untuk mengembalikan dana, tetapi tidak akan memberikan kompensasi untuk kerugian setelah 18 Februari.
QBridge: Kerugian 80 juta USD, kemajuan kompensasi lambat
Pada 28 Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, menyebabkan kerugian sekitar 80 juta dolar AS. Penyerang memanfaatkan celah di QBridge yang tidak memeriksa alamat nol saat memproses transfer token yang ada dalam daftar putih, dan berhasil mencetak sejumlah besar token xETH secara tidak sah di BSC, serta meminjam aset lain dari Qubit menggunakan token tersebut.
Saat ini, tingkat penggunaan Qubit telah menurun drastis, data resmi menunjukkan bahwa masih ada 98% dana yang dicuri yang belum mendapatkan kompensasi.
Meter.io: Kerugian 4,4 juta USD, berjanji akan membayar dengan pendapatan di masa depan
Pada 6 Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar AS. Meter secara resmi menyatakan bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber yang diperluas, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH.
Meter awalnya berencana untuk mengganti kerugian pengguna dengan token MTRG, tetapi setelah pemungutan suara komunitas, mereka memutuskan untuk menerbitkan token PASS baru untuk kompensasi, dan berjanji untuk membeli kembali token PASS dengan pendapatan di masa depan. Namun, saat ini belum ada operasi pembelian kembali.
Ronin: Kerugian 620 juta USD, telah dibayar penuh
Pada Maret 2022, rantai Ronin di balik Axie Infinity mengalami pencurian dana besar-besaran, dengan kerugian mencapai 620 juta dolar AS. Serangan ini berasal dari serangan rekayasa sosial yang direncanakan dengan cermat, di mana pelaku menyamar sebagai perusahaan perekrutan, berhasil menyusup ke dalam sistem Sky Mavis, dan akhirnya mengendalikan beberapa node validator di jaringan Ronin.
Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis berhasil memberikan kompensasi kepada pengguna melalui pendanaan sebesar 150 juta dolar yang dipimpin oleh Binance. Perlu dicatat bahwa karena harga ETH turun secara signifikan antara waktu serangan dan pembayaran, nilai kompensasi yang sebenarnya berkurang dibandingkan dengan saat serangan.
Wormhole: Kerugian sebesar 326 juta USD, telah dibayar penuh
Pada 3 Februari 2022, protokol cross-chain Wormhole diserang, mengakibatkan kerugian sekitar 120.000 ETH, senilai 326 juta dolar AS. Penyerang memanfaatkan celah dalam verifikasi tanda tangan kontrak inti Wormhole di sisi Solana, berhasil memalsukan pesan "guardian" untuk mencetak whETH.
Untungnya Jump Crypto (pihak pengakuisisi Certus One, pengembang Wormhole) dengan cepat menyuntikkan 120.000 ETH, menutupi kerugian Wormhole, sehingga dapat melanjutkan operasinya.
EvoDeFi: Diperkirakan kehilangan lebih dari sepuluh juta dolar, belum teratasi
Pada bulan Juni 2022, USDT di DEX Oasis ValleySwap mengalami depegging yang serius, yang mengakibatkan kerugian besar bagi banyak pengguna. Masalah ini berasal dari kurangnya likuiditas di chain sumber yang digunakan oleh cross-chain bridges EVODeFi. Meskipun EVODeFi menyalahkan masalah tersebut pada kepanikan yang disebabkan oleh FUD, pihak resmi Oasis telah dengan jelas menjauhkan diri dari ValleySwap dan EvoDeFi, menunjukkan bahwa EvoDeFi memiliki risiko tinggi dan belum diaudit.
Saat ini, belum ada solusi untuk kerugian pengguna, saluran resmi ValleySwap dan EVODeFi telah berhenti diperbarui, diduga pihak proyek telah melarikan diri.
Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam penyusunan.
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian dana sekitar 100 juta USD. Pendiri Harmony, Stephen Tse, mengakui bahwa serangan tersebut kemungkinan disebabkan oleh "kebocoran kunci pribadi". Aset yang dicuri melibatkan berbagai token, termasuk BUSD, USDC, ETH, dan WBTC.
Harmony pernah mengusulkan untuk mengkompensasi kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi tidak berhasil mendapatkan dukungan konsensus dari komunitas. Saat ini, pihak proyek sedang merumuskan kembali rencana kompensasi.
Nomad: Kerugian 1,9 juta dolar AS, sebagian dana diharapkan dapat dipulihkan
Pada 2 Agustus 2022, jembatan silang Nomad mengalami kecelakaan keamanan besar, mengakibatkan kehilangan likuiditas sebesar 190 juta dolar AS dengan cepat. Kecelakaan ini juga berdampak pada protokol interoperabilitas Layer2 lainnya, Connext, yang menyebabkan kerugian sekitar 3,34 juta dolar AS.
Menurut analisis para ahli, kecelakaan kali ini berasal dari kesalahan Nomad dalam menginisialisasi root kepercayaan menjadi 0x00 saat melakukan pembaruan kontrak, yang memungkinkan siapa saja untuk menarik dana dari cross-chain bridges dengan transaksi yang valid. Saat ini, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, tetapi pihak proyek belum memberikan rencana kompensasi yang jelas.
Ringkasan
Frekuensi kecelakaan keamanan pada jembatan lintas rantai menyoroti tingginya risiko di bidang ini. Bahkan jembatan lintas rantai terkemuka di pasar seperti Multichain, Wormhole, dan Poly Network juga pernah mengalami masalah keamanan, yang memperingatkan kita bahwa jembatan lintas rantai mana pun dapat menghadapi ancaman keamanan.
Perlu dicatat bahwa proyek jembatan lintas rantai dengan latar belakang yang kuat dan kekuatan finansial yang besar sering kali lebih mampu untuk memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan. Misalnya, Poly Network, Ronin Network, dan Wormhole mampu berhasil menemukan kembali dana atau melakukan pembayaran penuh setelah mengalami pencurian dana besar-besaran.
Selain itu, kemampuan tim untuk memantau secara real-time dan merespons dengan cepat juga sangat penting. Proyek-proyek seperti Hop Protocol dan StarGate dapat segera bertindak setelah menerima laporan aktivitas mencurigakan, berhasil mencegah serangan yang berpotensi terjadi. Ini menyoroti pentingnya pemantauan yang terus-menerus dan respons cepat dalam menjaga keamanan cross-chain bridges.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
9
Posting ulang
Bagikan
Komentar
0/400
retroactive_airdrop
· 07-17 13:29
cross-chain Sangat berbahaya
Lihat AsliBalas0
FlashLoanLord
· 07-17 11:06
Ini bukan cara baru untuk play people for suckers?
Analisis Kasus Serangan Jembatan Lintas Rantai Besar 10: Risiko Keamanan dan Pemulihan Dana
Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Analisis 10 Kasus Serangan Besar
Dalam ekosistem blockchain terdapat banyak blockchain publik, tetapi karena kurangnya aset utama, banyak proyek terpaksa bergantung pada jembatan lintas rantai untuk mendapatkan aset dari blockchain publik utama seperti Ethereum. Namun, baru-baru ini insiden keamanan di bidang DeFi sering terjadi, dan jembatan lintas rantai menjadi target utama para penyerang karena aliran dana yang besar dan operasi yang sering. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai yang signifikan yang terjadi di masa lalu, mengingatkan tim pengembang untuk selalu waspada terhadap risiko keamanan. Perlu dicatat bahwa proyek jembatan lintas rantai dengan latar belakang yang kuat seringkali lebih mampu untuk memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan, sehingga pengguna memilih jembatan lintas rantai yang lebih kuat mungkin akan lebih aman.
ChainSwap: Kerugian 8 juta dolar, penerbitan ulang token
Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan hacker secara berturut-turut, yang pertama menyebabkan kerugian sekitar 800.000 dolar AS, dan yang kedua merugikan hingga 8.000.000 dolar AS. Serangan kedua memiliki dampak yang lebih luas, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.
Setelah penyelidikan, penyebab kecelakaan adalah karena protokol tidak secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang untuk menggunakan tanda tangan yang dihasilkan sendiri untuk memberikan otorisasi pada transaksi. Karena kerugian terutama melibatkan token tata kelola dari pihak proyek, termasuk ChainSwap, beberapa proyek memutuskan untuk melakukan snapshot dan menerbitkan token baru untuk mengompensasi pemegang token dan penyedia likuiditas.
Jaringan Poly: 610 juta dolar dicuri, seluruhnya berhasil dipulihkan
Pada tanggal 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network mengalami serangan besar-besaran, kehilangan aset sebesar 250 juta, 270 juta, dan 85 juta dolar AS di jaringan Ethereum, Binance Smart Chain, dan Polygon, dengan total kerugian mencapai 610 juta dolar AS.
Serangan terutama memanfaatkan celah dalam logika manajemen hak kontrak Poly Network. Penyerang berhasil mengubah alamat validator di rantai target, sehingga mendapatkan hak tanda tangan untuk transfer aset. Meskipun penyerang awalnya menggunakan token privasi XMR sebagai sumber dana, akhirnya mereka memilih untuk mengembalikan semua dana yang dicuri. Poly Network kemudian menyebutnya sebagai "hacker topi putih" dan mengusulkan untuk mempekerjakan mereka sebagai kepala keamanan perusahaan.
Multichain: Kerugian 6 juta dolar, sebagian dana telah dipulihkan
Pada Januari 2022, Multichain menemukan celah penting yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki, masih ada beberapa pengguna yang mengalami kerugian karena tidak segera mencabut otorisasi. Menurut statistik, total 1889.6612 WETH dan 833.4191 AVAX dicuri, yang diperkirakan bernilai sekitar 6 juta dolar AS berdasarkan harga saat itu.
Tim keamanan Slow Fog menganalisis dan menunjukkan bahwa insiden ini disebabkan oleh kelalaian Multichain dalam memverifikasi keabsahan Token yang dikirim oleh pengguna, yang tidak mempertimbangkan bahwa tidak semua token underlying mengimplementasikan fungsi permit. Hingga laporan penyelidikan resmi dirilis, hampir 50% dari dana yang dicuri telah berhasil dipulihkan. Tim telah mengajukan proposal untuk mengembalikan dana, tetapi tidak akan memberikan kompensasi untuk kerugian setelah 18 Februari.
QBridge: Kerugian 80 juta USD, kemajuan kompensasi lambat
Pada 28 Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, menyebabkan kerugian sekitar 80 juta dolar AS. Penyerang memanfaatkan celah di QBridge yang tidak memeriksa alamat nol saat memproses transfer token yang ada dalam daftar putih, dan berhasil mencetak sejumlah besar token xETH secara tidak sah di BSC, serta meminjam aset lain dari Qubit menggunakan token tersebut.
Saat ini, tingkat penggunaan Qubit telah menurun drastis, data resmi menunjukkan bahwa masih ada 98% dana yang dicuri yang belum mendapatkan kompensasi.
Meter.io: Kerugian 4,4 juta USD, berjanji akan membayar dengan pendapatan di masa depan
Pada 6 Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar AS. Meter secara resmi menyatakan bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber yang diperluas, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH.
Meter awalnya berencana untuk mengganti kerugian pengguna dengan token MTRG, tetapi setelah pemungutan suara komunitas, mereka memutuskan untuk menerbitkan token PASS baru untuk kompensasi, dan berjanji untuk membeli kembali token PASS dengan pendapatan di masa depan. Namun, saat ini belum ada operasi pembelian kembali.
Ronin: Kerugian 620 juta USD, telah dibayar penuh
Pada Maret 2022, rantai Ronin di balik Axie Infinity mengalami pencurian dana besar-besaran, dengan kerugian mencapai 620 juta dolar AS. Serangan ini berasal dari serangan rekayasa sosial yang direncanakan dengan cermat, di mana pelaku menyamar sebagai perusahaan perekrutan, berhasil menyusup ke dalam sistem Sky Mavis, dan akhirnya mengendalikan beberapa node validator di jaringan Ronin.
Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis berhasil memberikan kompensasi kepada pengguna melalui pendanaan sebesar 150 juta dolar yang dipimpin oleh Binance. Perlu dicatat bahwa karena harga ETH turun secara signifikan antara waktu serangan dan pembayaran, nilai kompensasi yang sebenarnya berkurang dibandingkan dengan saat serangan.
Wormhole: Kerugian sebesar 326 juta USD, telah dibayar penuh
Pada 3 Februari 2022, protokol cross-chain Wormhole diserang, mengakibatkan kerugian sekitar 120.000 ETH, senilai 326 juta dolar AS. Penyerang memanfaatkan celah dalam verifikasi tanda tangan kontrak inti Wormhole di sisi Solana, berhasil memalsukan pesan "guardian" untuk mencetak whETH.
Untungnya Jump Crypto (pihak pengakuisisi Certus One, pengembang Wormhole) dengan cepat menyuntikkan 120.000 ETH, menutupi kerugian Wormhole, sehingga dapat melanjutkan operasinya.
EvoDeFi: Diperkirakan kehilangan lebih dari sepuluh juta dolar, belum teratasi
Pada bulan Juni 2022, USDT di DEX Oasis ValleySwap mengalami depegging yang serius, yang mengakibatkan kerugian besar bagi banyak pengguna. Masalah ini berasal dari kurangnya likuiditas di chain sumber yang digunakan oleh cross-chain bridges EVODeFi. Meskipun EVODeFi menyalahkan masalah tersebut pada kepanikan yang disebabkan oleh FUD, pihak resmi Oasis telah dengan jelas menjauhkan diri dari ValleySwap dan EvoDeFi, menunjukkan bahwa EvoDeFi memiliki risiko tinggi dan belum diaudit.
Saat ini, belum ada solusi untuk kerugian pengguna, saluran resmi ValleySwap dan EVODeFi telah berhenti diperbarui, diduga pihak proyek telah melarikan diri.
Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi masih dalam penyusunan.
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian dana sekitar 100 juta USD. Pendiri Harmony, Stephen Tse, mengakui bahwa serangan tersebut kemungkinan disebabkan oleh "kebocoran kunci pribadi". Aset yang dicuri melibatkan berbagai token, termasuk BUSD, USDC, ETH, dan WBTC.
Harmony pernah mengusulkan untuk mengkompensasi kerugian pengguna dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi tidak berhasil mendapatkan dukungan konsensus dari komunitas. Saat ini, pihak proyek sedang merumuskan kembali rencana kompensasi.
Nomad: Kerugian 1,9 juta dolar AS, sebagian dana diharapkan dapat dipulihkan
Pada 2 Agustus 2022, jembatan silang Nomad mengalami kecelakaan keamanan besar, mengakibatkan kehilangan likuiditas sebesar 190 juta dolar AS dengan cepat. Kecelakaan ini juga berdampak pada protokol interoperabilitas Layer2 lainnya, Connext, yang menyebabkan kerugian sekitar 3,34 juta dolar AS.
Menurut analisis para ahli, kecelakaan kali ini berasal dari kesalahan Nomad dalam menginisialisasi root kepercayaan menjadi 0x00 saat melakukan pembaruan kontrak, yang memungkinkan siapa saja untuk menarik dana dari cross-chain bridges dengan transaksi yang valid. Saat ini, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, tetapi pihak proyek belum memberikan rencana kompensasi yang jelas.
Ringkasan
Frekuensi kecelakaan keamanan pada jembatan lintas rantai menyoroti tingginya risiko di bidang ini. Bahkan jembatan lintas rantai terkemuka di pasar seperti Multichain, Wormhole, dan Poly Network juga pernah mengalami masalah keamanan, yang memperingatkan kita bahwa jembatan lintas rantai mana pun dapat menghadapi ancaman keamanan.
Perlu dicatat bahwa proyek jembatan lintas rantai dengan latar belakang yang kuat dan kekuatan finansial yang besar sering kali lebih mampu untuk memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan. Misalnya, Poly Network, Ronin Network, dan Wormhole mampu berhasil menemukan kembali dana atau melakukan pembayaran penuh setelah mengalami pencurian dana besar-besaran.
Selain itu, kemampuan tim untuk memantau secara real-time dan merespons dengan cepat juga sangat penting. Proyek-proyek seperti Hop Protocol dan StarGate dapat segera bertindak setelah menerima laporan aktivitas mencurigakan, berhasil mencegah serangan yang berpotensi terjadi. Ini menyoroti pentingnya pemantauan yang terus-menerus dan respons cepat dalam menjaga keamanan cross-chain bridges.