Beosin：36 kejadian keamanan utama bulan Mei, dengan total kerugian lebih dari 76 juta dolar AS

Menulis: Beosin

Menurut data statistik dari platform Beosin Alert, pada Mei 2026, total kerugian dari berbagai kejadian keamanan mencapai sekitar 76,15 juta dolar AS, dengan 36 kejadian serangan hacker besar terjadi, yang utama disebabkan oleh celah kontrak dan kebocoran kunci pribadi. Di antaranya, 17 kejadian disebabkan oleh celah keamanan pada kontrak / jaringan, dan 10 kejadian disebabkan oleh kebocoran kunci pribadi, menunjukkan bahwa keamanan kode dan operasional ekosistem DeFi menghadapi tantangan yang serius.

10 Besar Protocol Kerugian Mei

Jembatan lintas rantai Verus-Ethereum yang menghubungkan Verus L1 dan Ethereum diserang karena celah kontrak, dengan kerugian terbesar mencapai 11,58 juta dolar AS. Echo Protocol diserang karena kebocoran kunci pribadi, sehingga penyerang mencetak 1000 eBTC (nilai nominal sekitar 76,7 juta dolar AS), tetapi karena keterbatasan likuiditas, keuntungan aktual akhirnya sekitar 5,13 juta dolar AS.

Jenis proyek yang diserang dan kerugian di setiap rantai

Target serangan meliputi jembatan lintas rantai, bursa terdesentralisasi, protokol pinjaman, pasar prediksi, stablecoin, pengguna biasa, dan lain-lain, di mana kerugian terbesar terjadi pada jembatan lintas rantai, mencapai 27,995 juta dolar AS. Proyek terkait DeFi paling sering diserang, sebanyak 14 kali.

Rantai dengan kerugian terbesar pada Mei adalah Ethereum, dengan kerugian lebih dari 48,76 juta dolar AS. Beberapa kejadian keamanan pada jembatan lintas rantai dan sebagian besar protokol DeFi masih didominasi oleh Ethereum. Selanjutnya adalah BNB Chain, Monad, TON, selain itu Monero dan Bitcoin juga mengalami kejadian keamanan, menunjukkan bahwa serangan di rantai multi-rantai semakin umum.

Analisis utama kejadian keamanan

1. Verus: Kelemahan verifikasi pesan lintas rantai

Cara kerja Verus-Ethereum Bridge adalah dengan pengirim menyediakan data bukti yang menunjukkan bahwa di rantai Verus terdapat output yang telah dikonfirmasi oleh notaris, dan kontrak jembatan memverifikasi ini sebelum melepaskan aset di Ethereum. Celahnya terletak pada kontrak jembatan di sisi Ethereum yang meskipun memverifikasi bukti dari rantai Verus, tidak memeriksa apakah data tersebut adalah output asli yang valid, sehingga penyerang dapat membuat output palsu yang lolos verifikasi dan menarik dana yang jauh melebihi deposit mereka.

Bagian kode yang memiliki celah:

Celah dalam kejadian ini mirip dengan celah yang menyebabkan kerugian sebesar 320 juta dolar dari Wormhole dan 190 juta dolar dari Nomad pada 2022, keduanya sama-sama memverifikasi pesan tetapi tidak memverifikasi nilai dana di baliknya.

2. Trusted Volumes: Kelemahan parameter tanda tangan

Penyerang memanfaatkan kelemahan desain tanda tangan dalam proses permintaan penawaran (RFQ) TrustedVolumes, dengan memodifikasi data tanda tangan saat transfer dana nyata, mengatur pengirim transfer sebagai kontrak Resolver TrustedVolumes dan melewati verifikasi, sehingga aset dalam kontrak Resolver dapat dipindahkan dan menghasilkan keuntungan.

Bagian kode yang memiliki celah:

Pemeriksaan otorisasi merujuk ke varg4, tetapi eksekusi transfer dana merujuk ke parameter lain, tanpa verifikasi menyebabkan domain tanda tangan otorisasi dan alamat pemotongan dana tidak cocok.

Penyerang cukup menandatangani sebuah pesanan dengan alamat penandatangan yang terdaftar, misalnya maker = Exploit (melalui verifikasi tanda tangan), dan parameter tanda tangan lainnya (token, jumlah) dapat diatur sembarangan, misalnya order palsu 1:1, agar lolos pemeriksaan harga dari oracle, kemudian menarik dana dari kontrak protokol:

3. Kasus kebocoran kunci pribadi pada StablR

Pada Mei, terjadi beberapa kejadian kebocoran kunci pribadi, dengan total kerugian lebih dari 25 juta dolar AS. Di antaranya, StablR sebagai penerbit stablecoin yang sesuai regulasi menjadi pelajaran penting terkait keamanan dan tata kelola di jalur stablecoin dan DeFi.

StablR meluncurkan dua produk stablecoin yang sesuai regulasi: EURR dan USDR, di mana dompet multi-tanda tangan yang mengontrol pencetakan EURR adalah 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; dan dompet multi-tanda tangan yang mengontrol pencetakan USDR adalah 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Karena kedua dompet multi-tanda tangan tersebut hanya memerlukan satu tanda tangan untuk melakukan transaksi, penyerang yang mengendalikan alamat owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d dapat menambahkan alamat 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 ke dalam kedua dompet multi-tanda tangan tersebut, sehingga mengendalikan hak pencetakan token proyek:

Kejadian semacam ini bukan karena celah kode, tetapi masalah keamanan operasional proyek: tidak menyimpan kunci pribadi alamat istimewa dengan baik, tidak menerapkan multi-tanda tangan dengan threshold tinggi untuk operasi bernilai tinggi / risiko tinggi, tidak menggunakan time lock untuk operasi besar, dan tidak memiliki mekanisme respons cepat.

Tren ancaman keamanan Web3

Pada 2026, tren utama keamanan Web3 adalah peningkatan sistematis dari permukaan serangan. Celah muncul di kode, infrastruktur, interaksi, dan proses manusia secara bersamaan, dan hanya mengandalkan audit keamanan atau alat tidak cukup untuk meliputi keamanan operasional, perangkat karyawan, infrastruktur cloud, dan rantai pasokan perangkat lunak. Hal ini menuntut standar keamanan yang lebih tinggi dari pengelola proyek Web3.

Selain itu, serangan terhadap kontrak lama / usang sering terjadi, di mana celah atau otorisasi sangat rentan dieksploitasi oleh penyerang. Pengembang kontrak dan pengelola harus memeriksa kembali keamanan kontrak sebelumnya, dan untuk kontrak yang sudah tidak digunakan, harus segera ditangani atau memindahkan dana yang tersisa dengan aman, serta menghubungi pengguna untuk membatalkan otorisasi yang tidak diperlukan. Pengguna juga harus secara rutin memeriksa dan membatalkan otorisasi kontrak yang tidak lagi digunakan menggunakan penjelajah blockchain atau alat pencabutan otorisasi.