Penulis: Seorang ahli keamanan Web3 yang berpengalaman
Baru-baru ini, seorang ahli keamanan terkenal di industri berbagi pelajaran tentang keamanan DeFi kepada anggota komunitas. Ahli tersebut meninjau peristiwa keamanan besar yang dialami industri Web3 selama lebih dari setahun terakhir, dan mendalami penyebab serta langkah-langkah pencegahan dari peristiwa tersebut, merangkum kerentanan keamanan kontrak pintar yang umum, serta memberikan beberapa saran keamanan kepada pihak proyek dan pengguna biasa.
Menurut statistik, pada tahun 2022 terjadi lebih dari 300 insiden keamanan blockchain, dengan total kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara rinci delapan kasus khas berikut, yang sebagian besar mengalami kerugian lebih dari 100 juta dolar AS.
Peristiwa Jembatan Ronin
Pada Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan dengan kerugian sekitar 600 juta dolar. Para peretas memperoleh kepercayaan karyawan melalui teknik rekayasa sosial, sehingga dapat menyusup ke dalam sistem dan mengendalikan sebagian besar node verifikasi. Ini mengungkapkan adanya masalah dalam manajemen keamanan internal perusahaan dan lemahnya kesadaran keamanan di antara karyawan. Peristiwa ini dianggap terkait dengan kelompok peretas Korea Utara, mencerminkan bahwa kekuatan peretas tingkat negara telah mulai mengincar proyek-proyek blockchain.
Peristiwa Wormhole
Jembatan lintas rantai Wormhole diserang karena kerentanan kode, dengan kerugian sekitar 120.000 ETH. Penyebabnya adalah penggunaan beberapa fungsi yang telah ditinggalkan. Ini mengingatkan pengembang untuk segera memperbarui dan menggunakan versi terbaru dari pustaka kode, untuk menghindari masalah serupa.
Peristiwa Jembatan Nomad
Jembatan lintas rantai Nomad mengalami masalah pengaturan awal, yang memungkinkan penyerang untuk memutar ulang transaksi yang valid dan mengekstrak dana, dengan kerugian sekitar 190 juta dolar AS. Dalam kasus ini, terdapat banyak robot MEV yang terlibat dalam perebutan dana. Proyek sumber terbuka rentan terhadap serangan analisis, dan begitu ada celah, dapat mengalami pukulan yang menghancurkan.
Peristiwa Beanstalk
Proyek stablecoin algoritma Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 182 juta USD. Penyerang memanfaatkan celah dalam mekanisme tata kelola proyek, dengan mendapatkan banyak hak suara melalui pinjaman kilat, dan memindahkan dana melalui proposal jahat. Ini mencerminkan bahwa mekanisme tata kelola yang terdesentralisasi, jika dirancang dengan buruk, juga dapat membawa risiko keamanan.
Peristiwa Wintermute
Market maker Wintermute mengalami kerugian sekitar 160 juta USD akibat penggunaan alat pembuatan alamat yang memiliki celah, yang menyebabkan kunci privat mereka diretas. Ini mengingatkan kita untuk menilai keamanan dengan baik saat menggunakan alat sumber terbuka.
Peristiwa Jembatan Harmony
Jembatan lintas rantai Harmony Horizon dicuri lebih dari 100 juta dolar AS. Menurut analisis, kemungkinan juga dilakukan oleh kelompok peretas Korea Utara, dengan metode yang mirip dengan insiden Ronin. Ini sekali lagi menekankan ancaman peretas tingkat negara terhadap industri cryptocurrency.
Peristiwa Ankr
Proyek Ankr mengalami kerugian dana akibat tindakan jahat dari staf internal. Masalah utama terletak pada pengendalian kepemilikan kontrak yang tidak tepat, serta adanya celah dalam manajemen keamanan internal. Ini mencerminkan pentingnya manajemen keamanan internal bagi pihak proyek.
Peristiwa Mango
Platform perdagangan Mango mengalami serangan manipulasi pasar, dengan kerugian sekitar 115 juta dolar AS. Penyerang memanfaatkan masalah kurangnya likuiditas pada koin kecil di platform untuk memanipulasi harga dan mendapatkan keuntungan. Ini mengingatkan kita untuk mempertimbangkan risiko dalam berbagai situasi ekstrem.
Secara keseluruhan, proyek Web3 menghadapi berbagai ancaman keamanan dan perlu memperkuat pencegahan dari berbagai aspek seperti kode, mekanisme pemerintahan, dan manajemen internal. Pengguna yang berpartisipasi dalam proyek juga harus mengevaluasi risiko secara menyeluruh, jangan hanya melihat potensi keuntungan dan mengabaikan keamanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
4
Bagikan
Komentar
0/400
AlgoAlchemist
· 8jam yang lalu
43 miliar dolar hilang, itu cukup gila.
Lihat AsliBalas0
GhostChainLoyalist
· 13jam yang lalu
43 miliar? Dianggap Bodoh mudah mendapat untung
Lihat AsliBalas0
CryingOldWallet
· 13jam yang lalu
Setahun merugi sebanyak ini, saya sudah kelaparan~
Lihat AsliBalas0
RiddleMaster
· 13jam yang lalu
Hacker-hacker tahun ini makan dengan sangat kenyang.
Keamanan DeFi: Delapan peristiwa mengungkap kerugian $4,3 miliar dalam proyek Web3
Tinjauan dan Analisis Kejadian Keamanan DeFi 2022
Penulis: Seorang ahli keamanan Web3 yang berpengalaman
Baru-baru ini, seorang ahli keamanan terkenal di industri berbagi pelajaran tentang keamanan DeFi kepada anggota komunitas. Ahli tersebut meninjau peristiwa keamanan besar yang dialami industri Web3 selama lebih dari setahun terakhir, dan mendalami penyebab serta langkah-langkah pencegahan dari peristiwa tersebut, merangkum kerentanan keamanan kontrak pintar yang umum, serta memberikan beberapa saran keamanan kepada pihak proyek dan pengguna biasa.
Menurut statistik, pada tahun 2022 terjadi lebih dari 300 insiden keamanan blockchain, dengan total kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara rinci delapan kasus khas berikut, yang sebagian besar mengalami kerugian lebih dari 100 juta dolar AS.
Peristiwa Jembatan Ronin
Pada Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan dengan kerugian sekitar 600 juta dolar. Para peretas memperoleh kepercayaan karyawan melalui teknik rekayasa sosial, sehingga dapat menyusup ke dalam sistem dan mengendalikan sebagian besar node verifikasi. Ini mengungkapkan adanya masalah dalam manajemen keamanan internal perusahaan dan lemahnya kesadaran keamanan di antara karyawan. Peristiwa ini dianggap terkait dengan kelompok peretas Korea Utara, mencerminkan bahwa kekuatan peretas tingkat negara telah mulai mengincar proyek-proyek blockchain.
Peristiwa Wormhole
Jembatan lintas rantai Wormhole diserang karena kerentanan kode, dengan kerugian sekitar 120.000 ETH. Penyebabnya adalah penggunaan beberapa fungsi yang telah ditinggalkan. Ini mengingatkan pengembang untuk segera memperbarui dan menggunakan versi terbaru dari pustaka kode, untuk menghindari masalah serupa.
Peristiwa Jembatan Nomad
Jembatan lintas rantai Nomad mengalami masalah pengaturan awal, yang memungkinkan penyerang untuk memutar ulang transaksi yang valid dan mengekstrak dana, dengan kerugian sekitar 190 juta dolar AS. Dalam kasus ini, terdapat banyak robot MEV yang terlibat dalam perebutan dana. Proyek sumber terbuka rentan terhadap serangan analisis, dan begitu ada celah, dapat mengalami pukulan yang menghancurkan.
Peristiwa Beanstalk
Proyek stablecoin algoritma Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 182 juta USD. Penyerang memanfaatkan celah dalam mekanisme tata kelola proyek, dengan mendapatkan banyak hak suara melalui pinjaman kilat, dan memindahkan dana melalui proposal jahat. Ini mencerminkan bahwa mekanisme tata kelola yang terdesentralisasi, jika dirancang dengan buruk, juga dapat membawa risiko keamanan.
Peristiwa Wintermute
Market maker Wintermute mengalami kerugian sekitar 160 juta USD akibat penggunaan alat pembuatan alamat yang memiliki celah, yang menyebabkan kunci privat mereka diretas. Ini mengingatkan kita untuk menilai keamanan dengan baik saat menggunakan alat sumber terbuka.
Peristiwa Jembatan Harmony
Jembatan lintas rantai Harmony Horizon dicuri lebih dari 100 juta dolar AS. Menurut analisis, kemungkinan juga dilakukan oleh kelompok peretas Korea Utara, dengan metode yang mirip dengan insiden Ronin. Ini sekali lagi menekankan ancaman peretas tingkat negara terhadap industri cryptocurrency.
Peristiwa Ankr
Proyek Ankr mengalami kerugian dana akibat tindakan jahat dari staf internal. Masalah utama terletak pada pengendalian kepemilikan kontrak yang tidak tepat, serta adanya celah dalam manajemen keamanan internal. Ini mencerminkan pentingnya manajemen keamanan internal bagi pihak proyek.
Peristiwa Mango
Platform perdagangan Mango mengalami serangan manipulasi pasar, dengan kerugian sekitar 115 juta dolar AS. Penyerang memanfaatkan masalah kurangnya likuiditas pada koin kecil di platform untuk memanipulasi harga dan mendapatkan keuntungan. Ini mengingatkan kita untuk mempertimbangkan risiko dalam berbagai situasi ekstrem.
Secara keseluruhan, proyek Web3 menghadapi berbagai ancaman keamanan dan perlu memperkuat pencegahan dari berbagai aspek seperti kode, mekanisme pemerintahan, dan manajemen internal. Pengguna yang berpartisipasi dalam proyek juga harus mengevaluasi risiko secara menyeluruh, jangan hanya melihat potensi keuntungan dan mengabaikan keamanan.