Apa 5 Kerentanan Smart Contract Terbesar dalam Sejarah Kripto?

Peretasan DAO pada tahun 2016 mengakibatkan kerugian sebesar $60 juta

Pada bulan Juni 2016, dunia cryptocurrency menyaksikan salah satu pelanggaran keamanan terpentingnya ketika The DAO, sebuah organisasi otonom terdesentralisasi yang dibangun di atas blockchain Ethereum, menjadi korban peretasan yang menghancurkan. Penyerang mengeksploitasi kerentanan kritis dalam kode kontrak pintar The DAO, yang memungkinkan mereka untuk menguras dana secara berulang kali sebelum sistem dapat memverifikasi saldo.

Pada siang hari serangan, peretas telah mencuri lebih dari 3 juta Ether, setara dengan sekitar $60 juta pada saat itu—mewakili sepertiga dari semua dana yang disumbangkan oleh peserta DAO. Besarnya pencurian ini dijelaskan dalam perbandingan berikut:

Pelanggaran keamanan ini memicu respons yang belum pernah terjadi sebelumnya dari komunitas Ethereum. Setelah perdebatan sengit mengenai ketidakberubahan blockchain versus perlindungan investor, para pengembang menerapkan hard fork yang kontroversial di blockchain Ethereum. Solusi teknis ini secara efektif menulis ulang sejarah blockchain, mengembalikan transaksi ke titik sebelum serangan terjadi dan menciptakan kontrak pintar baru yang memungkinkan investor untuk menarik dana asli mereka. Insiden ini secara fundamental mengubah arah Ethereum dan menyoroti pertanyaan kritis tentang keamanan kontrak pintar dan tata kelola dalam sistem blockchain, menetapkan preseden baru untuk menangani eksploitasi besar dalam teknologi terdesentralisasi.

Bug dompet Parity membekukan Ethereum senilai $300 juta pada tahun 2017

Pada bulan Juli 2017, dunia cryptocurrency menyaksikan insiden yang menghancurkan ketika kesalahan pengkodean kritis dalam sistem dompet multi-tanda tangan Parity mengakibatkan sekitar $300 juta Ethereum terjebak secara permanen. Kerentanan ini muncul setelah perbaikan dari pelanggaran keamanan sebelumnya yang telah mengakibatkan pengguna kehilangan $32 juta hanya beberapa hari sebelumnya. Pada tanggal 20 Juli, Parity Technologies menerapkan kode yang diperbarui untuk mengatasi kerentanan sebelumnya, tetapi implementasi baru ini mengandung kesalahan fatal.

Seriusnya insiden dompet Parity menjadi jelas ketika memeriksa dampak finansial:

Seorang pengguna yang diidentifikasi sebagai “devops199” secara tidak sengaja memicu kerentanan dengan memanggil fungsi “initWallet”, yang secara efektif mengubah kontrak pustaka bersama menjadi dompet biasa dan kemudian menghancurkannya. Karena banyak dompet lain bergantung pada kode bersama ini, dana mereka menjadi tidak dapat diakses secara permanen. Kesalahan katastropis ini menyoroti kelemahan keamanan yang signifikan dalam implementasi blockchain dan memicu perdebatan sengit tentang mekanisme pemulihan yang mungkin. Insiden ini menjadi momen penting dalam sejarah keamanan cryptocurrency, menunjukkan bagaimana kesalahan pengkodean yang sederhana dapat mengakibatkan konsekuensi keuangan yang besar ketika berurusan dengan teknologi blockchain yang tidak dapat diubah.

Eksploitasi jembatan Ronin menyebabkan pencurian sebesar $625 juta pada tahun 2022

Pada tahun 2022, dunia cryptocurrency menyaksikan salah satu eksploitasi DeFi terbesar dalam sejarah ketika peretas berhasil membobol sistem keamanan jembatan Ronin, mengakibatkan pencurian yang mencengangkan sebesar $625 juta. Serangan terjadi ketika aktor jahat mendapatkan akses ke kunci pribadi yang digunakan untuk memvalidasi transaksi di Jaringan Ronin, yang mendukung permainan blockchain populer Axie Infinity. Menurut penyelidikan, para peretas mengambil alih node validator yang dioperasikan oleh Sky Mavis dan Axie DAO, memungkinkan mereka untuk memalsukan penarikan palsu.

FBI kemudian mengaitkan serangan canggih ini kepada peretas Korea Utara, khususnya Grup Lazarus, yang telah beroperasi selama lebih dari satu dekade dengan dukungan pemerintah. Setelah pencurian tersebut, Departemen Keuangan AS mengambil tindakan cepat dengan menjatuhkan sanksi pada dompet cryptocurrency yang digunakan oleh para penyerang untuk menerima dana yang dicuri.

Insiden ini menyoroti kerentanan signifikan dari jembatan lintas rantai, yang sering memusatkan sejumlah besar dana di titik penyimpanan tunggal, menciptakan target menarik bagi penjahat siber. Eksploitasi ini berfungsi sebagai pengingat penting bagi proyek-proyek blockchain untuk memprioritaskan langkah-langkah keamanan dan melakukan audit kontrak pintar secara menyeluruh sebelum penyebaran.

Kerentanan kontrak pintar telah menyebabkan kerugian lebih dari $1 miliar sejak tahun 2020

Kerentanan kontrak pintar telah muncul sebagai masalah keamanan yang kritis dalam ekosistem blockchain, dengan konsekuensi finansial yang menghancurkan. Sejak 2020, eksploitasi ini telah mengakibatkan kerugian lebih dari $1 miliar di berbagai platform dan protokol. Peneliti keamanan telah mengidentifikasi beberapa vektor serangan yang menonjol yang terus mengganggu aplikasi terdesentralisasi.

Lanskap eksploitasi kontrak pintar mengungkap pola yang mengkhawatirkan dari kerentanan yang berulang:

Industri keamanan telah merespons dengan program bug bounty yang substansial, dengan pembayaran mencapai $65 juta pada tahun 2023 saja untuk kerentanan blockchain dan kontrak pintar. Menurut data dari Immunefi, 77,5% dari semua bounty yang didistribusikan khusus untuk laporan bug kontrak pintar, menyoroti pengakuan industri terhadap risiko keamanan ini.

Sifat tidak dapat diubah dari kontrak pintar yang diterapkan menciptakan lingkungan keamanan yang sangat menantang, karena kerentanan tidak dapat diperbaiki setelah diterapkan seperti perangkat lunak tradisional, menjadikan langkah-langkah keamanan pencegahan sangat penting untuk integritas ekosistem.