Ringkasan Insiden Keamanan Web3 2024: Sepuluh Serangan Menyebabkan Kerugian Hampir 2,5 Miliar Dolar
Pada tahun 2024, bidang Web3 menghadapi tantangan keamanan yang serius. Menurut pemantauan platform data, hingga saat ini, total kerugian akibat serangan hacker, penipuan phishing, dan penggelapan proyek mencapai 24,91 miliar dolar AS. Peristiwa-peristiwa ini tidak hanya mengungkapkan cacat teknis, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas di tahun 2024, untuk mengambil pelajaran dan lebih baik dalam menghadapi ancaman keamanan di masa depan.
1. DMM Bitcoin
Jumlah kerugian: 3.04 miliar USDMetode Serangan: Kebocoran Kunci Pribadi
Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar-besaran. Penyerang memanfaatkan kunci privat yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat mendistribusikan dana yang dicuri ke beberapa alamat. Peristiwa ini mengungkapkan kekurangan serius dalam manajemen kunci privat dan perlindungan keamanan berlapis yang dimiliki bursa tersebut. Meskipun bursa mencoba untuk melacak peretas melalui pemantauan on-chain dan membekukan dana, pemindahan dan pencucian Bitcoin yang dicuri yang tersebar memberikan tantangan besar bagi pekerjaan pelacakan.
Pada 24 Desember, polisi Jepang mengkonfirmasi bahwa serangan ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp
Jumlah Kerugian: 2,90 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 9 Februari 2024, PlayDapp mengalami kerugian besar. Hacker mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi dengan hacker gagal, hacker kemudian mencetak 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Setelah sebagian token masuk ke platform perdagangan, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.
3. WazirX
Jumlah Kerugian: 235 juta dolar ASMetode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa cryptocurrency terbesar di India, WazirX, menjadi sasaran serangan yang terarah. Penyerang menggunakan rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menyetujui transaksi peningkatan kontrak, dan kemudian memanfaatkan hak kontrak yang telah ditingkatkan untuk memindahkan semua aset dalam dompet tersebut. Peristiwa ini menyoroti risiko potensial dari dompet multi-tanda tangan dalam pengelolaan konfigurasi hak dan transparansi operasional, serta memicu pemikiran mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games
Jumlah Kerugian: 2,16 juta dolar ASMetode Serangan: Kerentanan Kontrol Akses
Pada 20 Mei 2024, sebuah alamat istimewa Gala Games dibobol oleh peretas. Penyerang menggunakan fungsi mint dalam kontrak token untuk mencetak 5 miliar token GALA sekaligus. Kemudian, peretas secara bertahap menukarkan token yang diterbitkan tersebut menjadi ETH, langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun peretas setelah kejadian tersebut, dan melalui jalur hukum, mereka memulihkan kerugian.
5. Peristiwa Chris Larsen
Jumlah kerugian: 112 juta USDMetode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi Chris Larsen, salah satu pendiri Ripple, diretas, yang mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, suatu platform perdagangan berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables
Jumlah kerugian: 62,5 juta dolar ASMetode Serangan: Serangan Rekayasa Sosial
Pada 26 Maret 2024, platform game Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang langka. Penyerang adalah peretas Korea Utara yang menyamar sebagai pengembang blockchain, yang melalui penyamaran jangka panjang berhasil memperoleh kode inti dan kunci sensitif. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. BtcTurk
Jumlah kerugian: 55 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, menyebabkan kerugian lebih dari 55 juta dolar AS dalam aset cryptocurrency. Dengan bantuan sebuah platform perdagangan, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Radiant Capital
Jumlah Kerugian: 53 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang yang rendah, hacker berhasil menguasai kunci pribadi dari 3 penandatangan untuk memulai tanda tangan di luar rantai, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa Radiant Capital mengalami kerugian sebesar 4,5 juta dolar akibat celah kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini sekali lagi menyoroti bahwa proyek Web3 perlu meningkatkan tingkat perhatian mereka terhadap keamanan.
9. Hedgey Finance
Jumlah kerugian: 44,7 juta dolar ASMetode Serangan: Kerentanan Kontrak
Pada tanggal 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, yang berhasil mengekstrak token di dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Kejadian ini menunjukkan pentingnya audit kode, terutama dalam verifikasi ketat logika persetujuan token.
10. BingX
Jumlah Kerugian: 44,7 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 19 September 2024, dompet panas bursa BingX diretas, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa dengan cepat mengaktifkan mekanisme pemindahan aset dan pembekuan penarikan, peretas telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko dalam pengelolaan dompet panas bursa terpusat, dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Kejadian serangan keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga celah kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
2
Posting ulang
Bagikan
Komentar
0/400
GasFeeCrying
· 08-14 03:44
Sangat merugi lagi
Lihat AsliBalas0
FastLeaver
· 08-14 03:24
Haha, ini lagi kebocoran Kunci Pribadi, sudah banyak sekali skenario seperti ini dalam setahun.
10 Insiden Keamanan Web3 Terbesar di 2024 Menyebabkan Kerugian Hampir 2,5 Miliar Dolar AS
Ringkasan Insiden Keamanan Web3 2024: Sepuluh Serangan Menyebabkan Kerugian Hampir 2,5 Miliar Dolar
Pada tahun 2024, bidang Web3 menghadapi tantangan keamanan yang serius. Menurut pemantauan platform data, hingga saat ini, total kerugian akibat serangan hacker, penipuan phishing, dan penggelapan proyek mencapai 24,91 miliar dolar AS. Peristiwa-peristiwa ini tidak hanya mengungkapkan cacat teknis, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas di tahun 2024, untuk mengambil pelajaran dan lebih baik dalam menghadapi ancaman keamanan di masa depan.
1. DMM Bitcoin
Jumlah kerugian: 3.04 miliar USD Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami serangan besar-besaran. Penyerang memanfaatkan kunci privat yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat mendistribusikan dana yang dicuri ke beberapa alamat. Peristiwa ini mengungkapkan kekurangan serius dalam manajemen kunci privat dan perlindungan keamanan berlapis yang dimiliki bursa tersebut. Meskipun bursa mencoba untuk melacak peretas melalui pemantauan on-chain dan membekukan dana, pemindahan dan pencucian Bitcoin yang dicuri yang tersebar memberikan tantangan besar bagi pekerjaan pelacakan.
Pada 24 Desember, polisi Jepang mengkonfirmasi bahwa serangan ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp
Jumlah Kerugian: 2,90 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 9 Februari 2024, PlayDapp mengalami kerugian besar. Hacker mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi dengan hacker gagal, hacker kemudian mencetak 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Setelah sebagian token masuk ke platform perdagangan, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.
3. WazirX
Jumlah Kerugian: 235 juta dolar AS Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa cryptocurrency terbesar di India, WazirX, menjadi sasaran serangan yang terarah. Penyerang menggunakan rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menyetujui transaksi peningkatan kontrak, dan kemudian memanfaatkan hak kontrak yang telah ditingkatkan untuk memindahkan semua aset dalam dompet tersebut. Peristiwa ini menyoroti risiko potensial dari dompet multi-tanda tangan dalam pengelolaan konfigurasi hak dan transparansi operasional, serta memicu pemikiran mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games
Jumlah Kerugian: 2,16 juta dolar AS Metode Serangan: Kerentanan Kontrol Akses
Pada 20 Mei 2024, sebuah alamat istimewa Gala Games dibobol oleh peretas. Penyerang menggunakan fungsi mint dalam kontrak token untuk mencetak 5 miliar token GALA sekaligus. Kemudian, peretas secara bertahap menukarkan token yang diterbitkan tersebut menjadi ETH, langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun peretas setelah kejadian tersebut, dan melalui jalur hukum, mereka memulihkan kerugian.
5. Peristiwa Chris Larsen
Jumlah kerugian: 112 juta USD Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi Chris Larsen, salah satu pendiri Ripple, diretas, yang mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, suatu platform perdagangan berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables
Jumlah kerugian: 62,5 juta dolar AS Metode Serangan: Serangan Rekayasa Sosial
Pada 26 Maret 2024, platform game Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang langka. Penyerang adalah peretas Korea Utara yang menyamar sebagai pengembang blockchain, yang melalui penyamaran jangka panjang berhasil memperoleh kode inti dan kunci sensitif. Meskipun menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. BtcTurk
Jumlah kerugian: 55 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi, menyebabkan kerugian lebih dari 55 juta dolar AS dalam aset cryptocurrency. Dengan bantuan sebuah platform perdagangan, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Radiant Capital
Jumlah Kerugian: 53 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang yang rendah, hacker berhasil menguasai kunci pribadi dari 3 penandatangan untuk memulai tanda tangan di luar rantai, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa Radiant Capital mengalami kerugian sebesar 4,5 juta dolar akibat celah kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini sekali lagi menyoroti bahwa proyek Web3 perlu meningkatkan tingkat perhatian mereka terhadap keamanan.
9. Hedgey Finance
Jumlah kerugian: 44,7 juta dolar AS Metode Serangan: Kerentanan Kontrak
Pada tanggal 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, yang berhasil mengekstrak token di dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Kejadian ini menunjukkan pentingnya audit kode, terutama dalam verifikasi ketat logika persetujuan token.
10. BingX
Jumlah Kerugian: 44,7 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 19 September 2024, dompet panas bursa BingX diretas, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa dengan cepat mengaktifkan mekanisme pemindahan aset dan pembekuan penarikan, peretas telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko dalam pengelolaan dompet panas bursa terpusat, dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Kejadian serangan keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga celah kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.