Tinjauan Kejadian Keamanan DeFi 2022

Penulis: Seorang ahli keamanan Web3

Belakangan ini, seorang ahli keamanan senior membagikan pelajaran keamanan DeFi kepada anggota komunitas. Ahli tersebut meninjau peristiwa keamanan besar yang dialami industri Web3 pada tahun 2022, membahas penyebab dan langkah pencegahan dari peristiwa tersebut, merangkum celah keamanan kontrak pintar yang umum, dan memberikan saran keamanan kepada pengembang proyek dan pengguna.

Menurut statistik, pada tahun 2022 terjadi lebih dari 300 insiden keamanan blockchain, dengan jumlah uang yang terlibat mencapai 4,3 miliar dolar.

Artikel ini akan secara rinci memperkenalkan 8 kasus tipikal, di mana sebagian besar kasus mengalami kerugian lebih dari 100 juta dolar AS, meskipun Ankr mengalami kerugian yang relatif kecil, namun tetap sangat representatif.

Peristiwa Jembatan Ronin

Pada bulan Maret 2022, jaringan samping Axie Infinity, Ronin Network, diserang, mengakibatkan kerugian sebesar 173.6 ribu ETH dan 25,5 juta dolar AS.

Penyerang memperoleh kepercayaan karyawan melalui teknik rekayasa sosial, menginstal perangkat lunak berbahaya, dan akhirnya mengendalikan 4 dari 5 node verifikasi, berhasil melaksanakan serangan. Ini mengungkapkan masalah dalam kesadaran keamanan dan manajemen internal perusahaan.

Peristiwa Wormhole

Kode verifikasi kontrak Wormhole cross-chain bridge di sisi Solana memiliki kerentanan, yang menyebabkan penyerang memalsukan pesan “pengawas” untuk mencetak 120.000 ETH.

Ini terutama disebabkan oleh penggunaan beberapa fungsi yang telah usang. Disarankan kepada pengembang untuk menggunakan versi terbaru, untuk menghindari masalah serupa.

Peristiwa Jembatan Nomad

Saat inisialisasi kontrak Replica dari jembatan lintas rantai Nomad, root yang dipercaya diatur ke 0x0, dan root lama tidak dinyatakan tidak valid, sehingga penyerang dapat menyusun pesan sembarangan untuk mencuri dana, dengan kerugian sekitar 190 juta dolar AS.

Kasus tipikal ini menunjukkan bahwa masalah pengaturan awal dapat membawa konsekuensi serius. Ketika transaksi yang valid ditemukan dapat dieksekusi berulang kali, banyak peserta datang untuk merebut dana, yang akhirnya berubah menjadi “perang perebutan uang”.

Peristiwa Beanstalk

Proyek stablecoin algoritmik Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta dolar AS.

Penyerang memanfaatkan celah mekanisme proyek, memperoleh sejumlah besar token melalui pinjaman kilat untuk memberikan suara mendukung proposal jahat dan segera melaksanakannya. Ini mengungkapkan beberapa masalah dalam pemerintahan yang sepenuhnya terdesentralisasi, seperti peninjauan proposal, mekanisme pemungutan suara, dan penguncian waktu yang semuanya perlu dirancang dengan hati-hati.

Peristiwa Wintermute

Pembuat pasar Wintermute menggunakan alat pembangkit nomor cantik Profanity yang memiliki kerentanan, mengakibatkan kunci pribadi pemilik kontrak diretas dan dana dipindahkan.

Ini mengingatkan kita untuk mengevaluasi risiko keamanan dengan baik saat menggunakan alat sumber terbuka.

Peristiwa Harmony Bridge

Jembatan lintas rantai Harmony Horizon mengalami kerugian lebih dari 100 juta USD, diduga dilakukan oleh kelompok peretas Korea Utara. Metode serangan kemungkinan mirip dengan kejadian Ronin Bridge.

Peristiwa Ankr

Ankr mengalami tindakan jahat dari karyawan internal, yang menyebabkan banyak token dicetak dan dijual, sehingga memicu reaksi berantai.

Ini mengungkapkan adanya masalah serius dalam manajemen hak akses internal proyek dan sistem keamanannya.

Peristiwa Mango

Penyerang memperoleh keuntungan di platform kontrak berkelanjutan dengan memanipulasi harga koin kecil MNGO dan meminjamkan sejumlah besar dana.

Ini mencerminkan adanya celah dalam model bisnis beberapa proyek Keuangan Desentralisasi. Pihak proyek perlu menguji berbagai skenario ekstrem secara menyeluruh, dan pengguna juga harus memperhatikan keamanan modal mereka dan tidak hanya fokus pada keuntungan.