Tinjauan Sepuluh Peristiwa Keamanan Terbesar di Bidang Web3 Tahun 2024
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius seiring dengan inovasi teknologi dan ekspansi ekosistem. Menurut pemantauan platform data, hingga saat ini, total kerugian di bidang Web3 pada tahun 2024 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 24,91 miliar dolar.
Peristiwa-peristiwa ini tidak hanya mengungkapkan kelemahan teknis seperti manajemen kunci pribadi dan celah dalam kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas di tahun 2024, dengan harapan dapat mengambil pelajaran dari situasi tersebut untuk lebih baik menghadapi ancaman keamanan di masa depan.
1. DMM Bitcoin
Jumlah kerugian: 3,04 miliar USDMetode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami insiden keamanan yang signifikan. Penyerang memanfaatkan kunci pribadi yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Serangan ini mengungkapkan kekurangan serius bursa dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis. Meskipun bursa berusaha melacak peretas melalui pemantauan on-chain dan membekukan dana, penyebaran transfer Bitcoin yang dicuri dan pencucian koin memberikan tantangan besar bagi upaya pelacakan.
Pada 24 Desember, polisi Jepang mengonfirmasi bahwa insiden ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp
Jumlah kerugian: 2,90 miliar dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 9 Februari 2024, PlayDapp mengalami pukulan berat. Hacker mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta USD. Karena negosiasi antara pihak proyek dan hacker gagal, hacker dalam waktu singkat mencetak 15,9 miliar token PLA lagi, dengan nilai 253,9 juta USD. Setelah sebagian token masuk ke bursa, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan keadaan darurat.
3. Sebuah pertukaran cryptocurrency di India
Jumlah Kerugian: 235 juta dolar ASMetode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa kripto terbesar di India mengalami serangan terarah. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak kontrak yang telah ditingkatkan untuk memindahkan seluruh aset dalam dompet. Peristiwa ini menyoroti risiko potensial dompet multi-tanda tangan dalam pengelolaan konfigurasi hak dan transparansi operasi, serta memicu refleksi mendalam di industri mengenai mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games
Jumlah Kerugian: 2,16 Miliar Dolar ASMetode Serangan: Kerentanan Kontrol Akses
Pada tanggal 20 Mei 2024, sebuah alamat khusus Gala Games diretas. Penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint di kontrak token. Kemudian, hacker tersebut secara bertahap menukarkan token-token ini menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah peristiwa itu terjadi, dan melalui jalur hukum, mereka berhasil memulihkan sebagian kerugian.
5. Salah satu pendiri proyek cryptocurrency
Jumlah kerugian: 1,12 juta USDMetode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi dari salah satu pendiri proyek cryptocurrency terkenal diretas, mengakibatkan pencurian cryptocurrency senilai 112 juta USD. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah platform perdagangan berhasil membekukan aset curian senilai 4,2 juta USD dan membantu melacaknya, namun sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables
Jumlah kerugian: 62,5 juta dolar ASMetode Serangan: Serangan Rekayasa Sosial
Pada tanggal 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan peretasan internal yang jarang terjadi. Penyerang adalah hacker yang menyamar sebagai pengembang blockchain, yang telah menyusup selama waktu yang lama untuk mendapatkan kode inti dan kunci sensitif. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan dari komunitas dan tim, hacker akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. BtcTurk
Jumlah Kerugian: 55 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi yang mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim dari platform perdagangan tertentu, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Radiant Capital
Jumlah kerugian: 53 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang rendah, hacker berhasil menguasai kunci pribadi dari 3 penanda tangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar karena kerentanan kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini menunjukkan bahwa proyek Web3 masih perlu meningkatkan perhatian mereka terhadap keamanan.
9. Hedgey Finance
Jumlah kerugian: 44,7 juta dolar ASMetode Serangan: Kerentanan Kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak di blockchain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Peristiwa ini menunjukkan pentingnya audit kode, terutama dalam verifikasi ketat logika persetujuan token.
10. BingX
Jumlah kerugian: 44,7 juta dolar ASMetode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 19 September 2024, dompet panas bursa BingX diretas oleh hacker, melibatkan Ethereum, BNB Chain, Tron, dan beberapa blockchain publik lainnya. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko manajemen dompet panas di bursa terpusat dan lebih lanjut mendorong industri untuk menjelajahi solusi penyimpanan aset yang lebih aman.
Ringkasan
Frekuensi insiden serangan keamanan pada tahun 2024 mengingatkan kita sekali lagi bahwa perkembangan industri blockchain tidak terlepas dari perlindungan keamanan. Dari kebocoran kunci privat hingga celah kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap insiden memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kerugian sebesar 24,91 miliar dolar AS di bidang Web3 pada tahun 2024: Ringkasan sepuluh kejadian keamanan.
Tinjauan Sepuluh Peristiwa Keamanan Terbesar di Bidang Web3 Tahun 2024
Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius seiring dengan inovasi teknologi dan ekspansi ekosistem. Menurut pemantauan platform data, hingga saat ini, total kerugian di bidang Web3 pada tahun 2024 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 24,91 miliar dolar.
Peristiwa-peristiwa ini tidak hanya mengungkapkan kelemahan teknis seperti manajemen kunci pribadi dan celah dalam kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas di tahun 2024, dengan harapan dapat mengambil pelajaran dari situasi tersebut untuk lebih baik menghadapi ancaman keamanan di masa depan.
1. DMM Bitcoin
Jumlah kerugian: 3,04 miliar USD Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami insiden keamanan yang signifikan. Penyerang memanfaatkan kunci pribadi yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Serangan ini mengungkapkan kekurangan serius bursa dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis. Meskipun bursa berusaha melacak peretas melalui pemantauan on-chain dan membekukan dana, penyebaran transfer Bitcoin yang dicuri dan pencucian koin memberikan tantangan besar bagi upaya pelacakan.
Pada 24 Desember, polisi Jepang mengonfirmasi bahwa insiden ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp
Jumlah kerugian: 2,90 miliar dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 9 Februari 2024, PlayDapp mengalami pukulan berat. Hacker mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta USD. Karena negosiasi antara pihak proyek dan hacker gagal, hacker dalam waktu singkat mencetak 15,9 miliar token PLA lagi, dengan nilai 253,9 juta USD. Setelah sebagian token masuk ke bursa, PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token PDA yang baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan keadaan darurat.
3. Sebuah pertukaran cryptocurrency di India
Jumlah Kerugian: 235 juta dolar AS Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet dari bursa kripto terbesar di India mengalami serangan terarah. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan agar menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak kontrak yang telah ditingkatkan untuk memindahkan seluruh aset dalam dompet. Peristiwa ini menyoroti risiko potensial dompet multi-tanda tangan dalam pengelolaan konfigurasi hak dan transparansi operasi, serta memicu refleksi mendalam di industri mengenai mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games
Jumlah Kerugian: 2,16 Miliar Dolar AS Metode Serangan: Kerentanan Kontrol Akses
Pada tanggal 20 Mei 2024, sebuah alamat khusus Gala Games diretas. Penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint di kontrak token. Kemudian, hacker tersebut secara bertahap menukarkan token-token ini menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah peristiwa itu terjadi, dan melalui jalur hukum, mereka berhasil memulihkan sebagian kerugian.
5. Salah satu pendiri proyek cryptocurrency
Jumlah kerugian: 1,12 juta USD Metode Serangan: Kebocoran Kunci Pribadi
Pada 31 Januari 2024, empat dompet pribadi dari salah satu pendiri proyek cryptocurrency terkenal diretas, mengakibatkan pencurian cryptocurrency senilai 112 juta USD. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah platform perdagangan berhasil membekukan aset curian senilai 4,2 juta USD dan membantu melacaknya, namun sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables
Jumlah kerugian: 62,5 juta dolar AS Metode Serangan: Serangan Rekayasa Sosial
Pada tanggal 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan peretasan internal yang jarang terjadi. Penyerang adalah hacker yang menyamar sebagai pengembang blockchain, yang telah menyusup selama waktu yang lama untuk mendapatkan kode inti dan kunci sensitif. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan dari komunitas dan tim, hacker akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. BtcTurk
Jumlah Kerugian: 55 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki, BtcTurk, mengalami serangan kebocoran kunci pribadi yang mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim dari platform perdagangan tertentu, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap pengelolaan kunci pribadi di bursa terpusat.
8. Radiant Capital
Jumlah kerugian: 53 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang rendah, hacker berhasil menguasai kunci pribadi dari 3 penanda tangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar karena kerentanan kontrak sebelum serangan ini, dengan lebih dari 1900 ETH dicuri. Ini menunjukkan bahwa proyek Web3 masih perlu meningkatkan perhatian mereka terhadap keamanan.
9. Hedgey Finance
Jumlah kerugian: 44,7 juta dolar AS Metode Serangan: Kerentanan Kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak di blockchain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Peristiwa ini menunjukkan pentingnya audit kode, terutama dalam verifikasi ketat logika persetujuan token.
10. BingX
Jumlah kerugian: 44,7 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi
Pada tanggal 19 September 2024, dompet panas bursa BingX diretas oleh hacker, melibatkan Ethereum, BNB Chain, Tron, dan beberapa blockchain publik lainnya. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko manajemen dompet panas di bursa terpusat dan lebih lanjut mendorong industri untuk menjelajahi solusi penyimpanan aset yang lebih aman.
Ringkasan
Frekuensi insiden serangan keamanan pada tahun 2024 mengingatkan kita sekali lagi bahwa perkembangan industri blockchain tidak terlepas dari perlindungan keamanan. Dari kebocoran kunci privat hingga celah kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap insiden memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.