Analisis Kedalaman Keamanan DeFi: Tinjauan Peristiwa Besar 2022

Pada tahun 2022, industri Web3 mengalami beberapa insiden keamanan besar, dengan total kerugian mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara mendalam delapan kasus klasik, yang sebagian besar melibatkan kerugian lebih dari 100 juta dolar AS.

Peristiwa Jembatan Ronin

Pada Maret 2022, jaringan sampingan Axie Infinity, Ronin Network, diserang, mengakibatkan kehilangan 173.6 ribu ETH dan 25.5 juta USD, dengan total nilai hampir 600 juta dolar. Menurut penyelidikan, kelompok peretas Korea Utara, Lazarus, terkait dengan peristiwa ini.

Penyerang memperoleh kepercayaan karyawan internal melalui teknik rekayasa sosial, sehingga mampu menyusup ke sistem dan mengendalikan beberapa node verifikasi. Metode serangan ancaman berkelanjutan tingkat tinggi (APT) ini umum terjadi di bidang keamanan tradisional, dan sekarang juga mulai muncul dalam proyek blockchain.

Kejadian ini mengungkapkan adanya kekurangan serius dalam kesadaran keamanan karyawan dan sistem keamanan internal di pihak proyek.

Peristiwa Wormhole

Jembatan lintas rantai Wormhole diserang karena kesalahan kode verifikasi tanda tangan kontrak di sisi Solana, dengan kerugian sekitar 120.000 ETH. Penyerang memanfaatkan celah pada fungsi yang tidak terpakai.

Ini mengingatkan pengembang untuk menggunakan versi terbaru dari repositori kode, menghindari penggunaan fitur versi lama yang diketahui bermasalah.

Peristiwa Jembatan Nomad

Jembatan lintas rantai Nomad diserang akibat masalah pengaturan inisialisasi, dengan kerugian sekitar 1,9 juta dolar AS. Penyerang mengekstrak dana dengan memutar ulang transaksi yang valid.

Peristiwa ini telah menjadi "perang perebutan uang", dengan beberapa alamat yang terlibat. Meskipun sebagian dana telah berhasil dipulihkan, namun sebagian besar masih belum ditemukan. Ini menyoroti efek dua sisi dari open source yang dibawa oleh kontrak pintar.

Peristiwa Beanstalk

Proyek stablecoin algoritmik Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta USD. Penyerang memanfaatkan celah dalam mekanisme pemerintahan proyek, melalui proposal jahat untuk melaksanakan serangan.

Ini mencerminkan risiko yang ada dalam pemerintahan terdesentralisasi, pihak proyek perlu melakukan desain yang lebih hati-hati dalam hal pemeriksaan proposal, mekanisme pemungutan suara, dan penguncian waktu eksekusi.

Peristiwa Wintermute

Penyedia likuiditas Wintermute diserang karena menggunakan alat generasi alamat yang memiliki kerentanan, Profanity. Penyerang berhasil membobol kunci pribadi alamat pemilik kontrak.

Ini mengingatkan kita untuk berhati-hati saat menggunakan alat sumber terbuka dan melakukan evaluasi keamanan yang cukup.

Peristiwa Jembatan Harmony

Jembatan lintas rantai Horizon dari Harmony mengalami kerugian lebih dari 100 juta dolar AS, diduga juga dilakukan oleh kelompok peretas Korea Utara. Rincian spesifik belum dipublikasikan, tetapi metode serangan mungkin mirip dengan peristiwa Ronin Bridge.

Peristiwa Ankr

Ankr mengalami tindakan jahat dari karyawan internal, yang menyebabkan banyak token dicetak secara sembarangan. Ini mengungkapkan kekurangan serius proyek dalam manajemen hak dan kontrol internal.

Peristiwa Mango

Platform perdagangan Mango mengalami serangan manipulasi pasar, dengan kerugian sekitar 1,15 juta dolar AS. Penyerang memanfaatkan celah dalam model bisnis platform, dengan memanipulasi harga token berkapitalisasi kecil untuk mendapatkan keuntungan.

Ini mengingatkan pihak proyek untuk mempertimbangkan berbagai situasi ekstrem secara menyeluruh, pengguna juga harus waspada terhadap risiko bisnis yang potensial.

Secara keseluruhan, peristiwa-peristiwa ini di tahun 2022 mencerminkan bahwa proyek DeFi masih memiliki kekurangan dalam berbagai aspek seperti keamanan kode, manajemen hak akses, dan mekanisme pemerintahan. Baik pihak proyek maupun pengguna perlu meningkatkan kesadaran keamanan dan mengambil langkah-langkah pencegahan yang lebih ketat.