Tinjauan Sepuluh Peristiwa Keamanan Terbesar di Bidang Web3 Tahun 2024
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius di tengah inovasi teknologi dan ekspansi ekosistem. Menurut data dari platform pemantauan keamanan, hingga akhir tahun, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 2,491 juta USD.
Peristiwa-peristiwa ini tidak hanya mengungkapkan kekurangan teknis seperti pengelolaan kunci pribadi dan celah kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan merangkum sepuluh peristiwa keamanan Web3 teratas tahun 2024 untuk memberikan pelajaran bagi industri, agar lebih baik dalam menghadapi ancaman keamanan di masa depan.
1. Peristiwa DMM Bitcoin
Jumlah kerugian: 3,04 juta dolar AS
Metode serangan: kebocoran kunci pribadi
Pada tanggal 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar. Penyerang memanfaatkan kunci pribadi yang bocor untuk langsung memindahkan Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat mendistribusikan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Peristiwa ini mengungkapkan celah serius dalam manajemen kunci pribadi dan perlindungan keamanan berlapis di bursa tersebut. Meskipun bursa melacak peretas melalui pemantauan di blockchain dan membekukan dana, upaya pelacakan menghadapi tantangan besar karena Bitcoin yang dicuri telah dipindahkan dan dibersihkan menggunakan alat pencampur.
Pada akhir tahun, polisi Jepang mengkonfirmasi bahwa pencurian ini direncanakan oleh organisasi peretas Korea Utara.
2. PlayDapp Mengalami Kerugian Besar
Jumlah kerugian: 2,90 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 9 Februari 2024, PlayDapp mengalami pukulan berat. Para peretas mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena kegagalan negosiasi antara pihak proyek dan peretas, peretas kemudian mencetak 15,9 miliar token PLA, senilai 253,9 juta dolar AS. Beberapa token yang dicuri mengalir ke bursa, dan PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan respons darurat.
3. Serangan pada Dompet Multisig WazirX
Jumlah kerugian: 2,35 juta dolar AS
Metode serangan: serangan siber dan phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa cryptocurrency terbesar di India, WazirX, menjadi target serangan terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan izin kontrak yang telah diperbarui untuk memindahkan semua aset di dalam dompet. Kasus ini mengungkapkan risiko potensial dari dompet multi-tanda tangan dalam hal pengelolaan izin dan transparansi operasi, serta memicu pemikiran mendalam di dalam industri mengenai mekanisme pengendalian risiko internal proyek.
4. Kerentanan Kontrak Gala Games Dieksploitasi
Jumlah kerugian: 216 juta USD
Metode serangan: Kerentanan kontrol akses
Pada 20 Mei 2024, alamat khusus Gala Games diretas oleh hacker. Penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dari kontrak token. Setelah itu, hacker menukarkan token yang ditingkatkan menjadi ETH secara bertahap, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah kejadian tersebut, dan melalui jalur hukum, mereka berhasil memulihkan sebagian kerugian.
5. Pendiri bersama Ripple diserang oleh peretas
Jumlah kerugian: 1,12 miliar dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas oleh peretas, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Setelah kejadian tersebut, sebuah platform perdagangan berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables Mengalami Penyusupan Internal
Jumlah kerugian: 62,5 juta dolar AS
Metode serangan: serangan rekayasa sosial
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang jarang terjadi. Penyerang menyamar sebagai pengembang blockchain dan mendapatkan akses ke kode inti serta kunci sensitif setelah menyusup selama waktu yang lama. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Kasus Kebocoran Kunci Pribadi BtcTurk
Jumlah kerugian: 55 juta USD
Metode serangan: Kebocoran kunci pribadi
Pada tanggal 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan sebuah platform trading, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya belum berhasil dipulihkan. Peristiwa ini meningkatkan kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Dompet Multi-tanda Tangan Radiant Capital Diretas
Jumlah kerugian: 53 juta dolar AS
Metode serangan: kebocoran kunci pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diserang oleh peretas. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang batas rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, dan akhirnya menyebabkan pencurian sebesar 53 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme pengelolaan dompet multisig.
Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar karena celah kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini sekali lagi menyoroti bahwa proyek Web3 masih memiliki ruang untuk meningkatkan tingkat perhatian terhadap keamanan.
9. Celah Kontrak Hedgey Finance Dieksploitasi
Jumlah kerugian: 44,7 juta dolar AS
Metode serangan: Kerentanan kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Hacker memanfaatkan celah persetujuan dalam kontrak ClaimCampaigns mereka, berhasil mengekstrak token di dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Peristiwa ini menyoroti pentingnya audit kode, terutama verifikasi yang ketat terhadap logika persetujuan token.
10. Dompet Panas BingX Dihack
Jumlah kerugian: 44,7 juta USD
Metode serangan: kebocoran kunci pribadi
Pada 19 September 2024, dompet panas dari bursa BingX diretas oleh hacker, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa segera memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini sekali lagi menyoroti risiko tinggi dalam pengelolaan dompet panas bursa terpusat, mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangkaian insiden keamanan yang sering terjadi pada tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap insiden memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, standar manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan jaminan yang lebih dapat diandalkan bagi pengguna dan investor.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
6
Posting ulang
Bagikan
Komentar
0/400
SillyWhale
· 11jam yang lalu
Dompet lagi-lagi hilang
Lihat AsliBalas0
APY追逐者
· 08-07 05:31
Tahun Rekt lainnya
Lihat AsliBalas0
BlockchainBard
· 08-07 05:23
Sekali lagi, ini adalah kekacauan.
Lihat AsliBalas0
MemeCurator
· 08-07 05:22
Sekali lagi, kerugian tahun ini mencapai rekor baru.
Tinjauan Keamanan Web3 2024: Sepuluh Peristiwa Mengakibatkan Kerugian Hampir 2,5 Miliar Dolar
Tinjauan Sepuluh Peristiwa Keamanan Terbesar di Bidang Web3 Tahun 2024
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius di tengah inovasi teknologi dan ekspansi ekosistem. Menurut data dari platform pemantauan keamanan, hingga akhir tahun, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 2,491 juta USD.
Peristiwa-peristiwa ini tidak hanya mengungkapkan kekurangan teknis seperti pengelolaan kunci pribadi dan celah kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan merangkum sepuluh peristiwa keamanan Web3 teratas tahun 2024 untuk memberikan pelajaran bagi industri, agar lebih baik dalam menghadapi ancaman keamanan di masa depan.
1. Peristiwa DMM Bitcoin
Jumlah kerugian: 3,04 juta dolar AS Metode serangan: kebocoran kunci pribadi
Pada tanggal 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar. Penyerang memanfaatkan kunci pribadi yang bocor untuk langsung memindahkan Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat mendistribusikan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Peristiwa ini mengungkapkan celah serius dalam manajemen kunci pribadi dan perlindungan keamanan berlapis di bursa tersebut. Meskipun bursa melacak peretas melalui pemantauan di blockchain dan membekukan dana, upaya pelacakan menghadapi tantangan besar karena Bitcoin yang dicuri telah dipindahkan dan dibersihkan menggunakan alat pencampur.
Pada akhir tahun, polisi Jepang mengkonfirmasi bahwa pencurian ini direncanakan oleh organisasi peretas Korea Utara.
2. PlayDapp Mengalami Kerugian Besar
Jumlah kerugian: 2,90 juta dolar AS Metode serangan: Kebocoran kunci pribadi
Pada 9 Februari 2024, PlayDapp mengalami pukulan berat. Para peretas mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena kegagalan negosiasi antara pihak proyek dan peretas, peretas kemudian mencetak 15,9 miliar token PLA, senilai 253,9 juta dolar AS. Beberapa token yang dicuri mengalir ke bursa, dan PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan respons darurat.
3. Serangan pada Dompet Multisig WazirX
Jumlah kerugian: 2,35 juta dolar AS Metode serangan: serangan siber dan phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa cryptocurrency terbesar di India, WazirX, menjadi target serangan terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan izin kontrak yang telah diperbarui untuk memindahkan semua aset di dalam dompet. Kasus ini mengungkapkan risiko potensial dari dompet multi-tanda tangan dalam hal pengelolaan izin dan transparansi operasi, serta memicu pemikiran mendalam di dalam industri mengenai mekanisme pengendalian risiko internal proyek.
4. Kerentanan Kontrak Gala Games Dieksploitasi
Jumlah kerugian: 216 juta USD Metode serangan: Kerentanan kontrol akses
Pada 20 Mei 2024, alamat khusus Gala Games diretas oleh hacker. Penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dari kontrak token. Setelah itu, hacker menukarkan token yang ditingkatkan menjadi ETH secara bertahap, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah kejadian tersebut, dan melalui jalur hukum, mereka berhasil memulihkan sebagian kerugian.
5. Pendiri bersama Ripple diserang oleh peretas
Jumlah kerugian: 1,12 miliar dolar AS Metode serangan: Kebocoran kunci pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas oleh peretas, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Setelah kejadian tersebut, sebuah platform perdagangan berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables Mengalami Penyusupan Internal
Jumlah kerugian: 62,5 juta dolar AS Metode serangan: serangan rekayasa sosial
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang jarang terjadi. Penyerang menyamar sebagai pengembang blockchain dan mendapatkan akses ke kode inti serta kunci sensitif setelah menyusup selama waktu yang lama. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Kasus Kebocoran Kunci Pribadi BtcTurk
Jumlah kerugian: 55 juta USD Metode serangan: Kebocoran kunci pribadi
Pada tanggal 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan sebuah platform trading, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya belum berhasil dipulihkan. Peristiwa ini meningkatkan kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Dompet Multi-tanda Tangan Radiant Capital Diretas
Jumlah kerugian: 53 juta dolar AS Metode serangan: kebocoran kunci pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diserang oleh peretas. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang batas rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, dan akhirnya menyebabkan pencurian sebesar 53 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme pengelolaan dompet multisig.
Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar karena celah kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini sekali lagi menyoroti bahwa proyek Web3 masih memiliki ruang untuk meningkatkan tingkat perhatian terhadap keamanan.
9. Celah Kontrak Hedgey Finance Dieksploitasi
Jumlah kerugian: 44,7 juta dolar AS Metode serangan: Kerentanan kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Hacker memanfaatkan celah persetujuan dalam kontrak ClaimCampaigns mereka, berhasil mengekstrak token di dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Peristiwa ini menyoroti pentingnya audit kode, terutama verifikasi yang ketat terhadap logika persetujuan token.
10. Dompet Panas BingX Dihack
Jumlah kerugian: 44,7 juta USD Metode serangan: kebocoran kunci pribadi
Pada 19 September 2024, dompet panas dari bursa BingX diretas oleh hacker, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa segera memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini sekali lagi menyoroti risiko tinggi dalam pengelolaan dompet panas bursa terpusat, mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangkaian insiden keamanan yang sering terjadi pada tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap insiden memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, standar manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan jaminan yang lebih dapat diandalkan bagi pengguna dan investor.