Kejadian Keamanan Keuangan Desentralisasi: Analisis Kasus Penting 2022
Industri blockchain mengalami lebih dari 300 insiden keamanan pada tahun 2022, dengan jumlah uang yang terlibat mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara rinci 8 kasus典型, yang sebagian besar melibatkan kerugian lebih dari 100 juta dolar AS.
Peristiwa Ronin Bridge
Pada 23 Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan, kehilangan 173.6 ribu ETH dan 25,5 juta dolar AS. Menurut laporan, kelompok peretas Korea Utara, Lazarus, terlibat dalam kejadian ini. Para peretas berhasil menyusup ke sistem melalui teknik rekayasa sosial, akhirnya mengendalikan 5 dari 9 node validasi dan berhasil melaksanakan serangan.
Kejadian ini mengungkapkan lemahnya kesadaran keamanan karyawan perusahaan dan adanya celah dalam sistem keamanan internal. Ini juga menunjukkan bahwa organisasi peretas tradisional dan kekuatan tingkat negara secara bertahap mengalihkan fokus mereka ke proyek blockchain, untuk mendapatkan keuntungan ekonomi secara langsung.
Peristiwa Wormhole
Kontrak inti di sisi Solana dari jembatan lintas rantai Wormhole memiliki kesalahan verifikasi tanda tangan, yang memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus Wormhole, dengan kerugian sekitar 120.000 ETH.
Masalah ini terutama terletak pada tingkat kode, di mana beberapa fungsi yang telah usang digunakan. Pengembang harus segera memperbarui untuk menggunakan versi terbaru, untuk menghindari masalah serupa.
Peristiwa Jembatan Nomad
Kontrak inisialisasi jembatan lintas rantai Nomad Replica diatur ke akar tepercaya 0x0, dan saat mengubah akar tepercaya tidak membuat akar lama tidak valid, sehingga penyerang dapat membangun pesan sembarangan untuk mencuri dana, dengan kerugian lebih dari 190 juta dolar.
Ini adalah masalah pengaturan awal yang khas. Para hacker mengekstrak dana yang terkunci dengan memutar ulang transaksi yang valid. Banyak robot MEV terlibat, membuat peristiwa tersebut berkembang menjadi sebuah "perampokan".
Ini juga mencerminkan efek pedang bermata dua dari sumber terbuka - memudahkan audit sekaligus memudahkan peretas untuk menganalisis. Begitu celah ditemukan, proyek dapat menghadapi pukulan fatal.
Peristiwa Beanstalk
Proyek stablecoin algoritma Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta dolar AS. Penyerang menggunakan pinjaman kilat untuk mendapatkan sejumlah besar token untuk memberikan suara pada proposal jahat, dan segera mengeksekusi keuntungan.
Kasus ini mengungkapkan risiko dari tata kelola terdesentralisasi. Proyek perlu mempertimbangkan pengaturan mekanisme pemeriksaan proposal, distribusi bobot suara, serta langkah-langkah keamanan seperti penguncian waktu.
Peristiwa Wintermute
Penyedia likuiditas Wintermute menggunakan alat pembuatan nomor cantik yang memiliki kerentanan untuk membuat alamat kontrak, yang menyebabkan kunci pribadi pemilik kontrak diretas dan dana dipindahkan.
Ini mengingatkan kita untuk berhati-hati saat menggunakan alat sumber terbuka, sebaiknya melakukan penilaian keamanan yang memadai.
Peristiwa Jembatan Harmony
Jembatan lintas rantai Harmony Horizon mengalami kerugian lebih dari 100 juta USD, yang diduga disebabkan oleh kebocoran kunci pribadi. Analisis menunjukkan ini mungkin juga dilakukan oleh kelompok peretas Korea Utara.
Peretas Korea Utara telah sering melancarkan serangan terhadap industri cryptocurrency dalam beberapa tahun terakhir, banyak perusahaan telah menjadi korban serangan phishing mereka.
Peristiwa Ankr
Kontrak staking Ankr dikendalikan dengan kunci pribadi oleh mantan karyawan, menyebabkan sejumlah besar token dicetak secara jahat. Ini mengungkapkan adanya masalah serius dalam manajemen hak akses dan sistem keamanan internal proyek.
Peristiwa Mango
Penyerang memanfaatkan celah dalam model bisnis platform perdagangan Mango, dengan memanipulasi harga token bernilai kecil untuk meraih keuntungan lebih dari 100 juta dolar.
Ini mengingatkan pihak proyek untuk mempertimbangkan berbagai skenario ekstrem untuk pengujian. Pengguna yang berpartisipasi dalam proyek juga harus memperhatikan apakah ada celah dalam model bisnis yang dapat dimanfaatkan.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Suka
Hadiah
13
4
Bagikan
Komentar
0/400
ForkItAllDay
· 07-02 04:57
Kerugian besar... Lagipula itu bukan urusanku
Lihat AsliBalas0
SignatureVerifier
· 07-02 04:57
secara teknis, 5/9 node hanyalah arsitektur validasi yang sembarangan... smh
Lihat AsliBalas0
just_another_fish
· 07-02 04:54
Semua uang sudah dicuri, siapa yang berani bermain?
Lihat AsliBalas0
CryptoHistoryClass
· 07-02 04:50
*memeriksa log sejarah* $4,3 miliar lagi hilang... seperti mt.gox pada tahun 2014 fr fr
Tinjauan Kejadian Keamanan DeFi 2022: Analisis Mendalam terhadap 8 Kasus Tipikal
Kejadian Keamanan Keuangan Desentralisasi: Analisis Kasus Penting 2022
Industri blockchain mengalami lebih dari 300 insiden keamanan pada tahun 2022, dengan jumlah uang yang terlibat mencapai 4,3 miliar dolar AS. Artikel ini akan menganalisis secara rinci 8 kasus典型, yang sebagian besar melibatkan kerugian lebih dari 100 juta dolar AS.
Peristiwa Ronin Bridge
Pada 23 Maret 2022, sidechain Axie Infinity, Ronin Network, mengalami peretasan, kehilangan 173.6 ribu ETH dan 25,5 juta dolar AS. Menurut laporan, kelompok peretas Korea Utara, Lazarus, terlibat dalam kejadian ini. Para peretas berhasil menyusup ke sistem melalui teknik rekayasa sosial, akhirnya mengendalikan 5 dari 9 node validasi dan berhasil melaksanakan serangan.
Kejadian ini mengungkapkan lemahnya kesadaran keamanan karyawan perusahaan dan adanya celah dalam sistem keamanan internal. Ini juga menunjukkan bahwa organisasi peretas tradisional dan kekuatan tingkat negara secara bertahap mengalihkan fokus mereka ke proyek blockchain, untuk mendapatkan keuntungan ekonomi secara langsung.
Peristiwa Wormhole
Kontrak inti di sisi Solana dari jembatan lintas rantai Wormhole memiliki kesalahan verifikasi tanda tangan, yang memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus Wormhole, dengan kerugian sekitar 120.000 ETH.
Masalah ini terutama terletak pada tingkat kode, di mana beberapa fungsi yang telah usang digunakan. Pengembang harus segera memperbarui untuk menggunakan versi terbaru, untuk menghindari masalah serupa.
Peristiwa Jembatan Nomad
Kontrak inisialisasi jembatan lintas rantai Nomad Replica diatur ke akar tepercaya 0x0, dan saat mengubah akar tepercaya tidak membuat akar lama tidak valid, sehingga penyerang dapat membangun pesan sembarangan untuk mencuri dana, dengan kerugian lebih dari 190 juta dolar.
Ini adalah masalah pengaturan awal yang khas. Para hacker mengekstrak dana yang terkunci dengan memutar ulang transaksi yang valid. Banyak robot MEV terlibat, membuat peristiwa tersebut berkembang menjadi sebuah "perampokan".
Ini juga mencerminkan efek pedang bermata dua dari sumber terbuka - memudahkan audit sekaligus memudahkan peretas untuk menganalisis. Begitu celah ditemukan, proyek dapat menghadapi pukulan fatal.
Peristiwa Beanstalk
Proyek stablecoin algoritma Beanstalk mengalami serangan pinjaman kilat, dengan kerugian sekitar 1,82 juta dolar AS. Penyerang menggunakan pinjaman kilat untuk mendapatkan sejumlah besar token untuk memberikan suara pada proposal jahat, dan segera mengeksekusi keuntungan.
Kasus ini mengungkapkan risiko dari tata kelola terdesentralisasi. Proyek perlu mempertimbangkan pengaturan mekanisme pemeriksaan proposal, distribusi bobot suara, serta langkah-langkah keamanan seperti penguncian waktu.
Peristiwa Wintermute
Penyedia likuiditas Wintermute menggunakan alat pembuatan nomor cantik yang memiliki kerentanan untuk membuat alamat kontrak, yang menyebabkan kunci pribadi pemilik kontrak diretas dan dana dipindahkan.
Ini mengingatkan kita untuk berhati-hati saat menggunakan alat sumber terbuka, sebaiknya melakukan penilaian keamanan yang memadai.
Peristiwa Jembatan Harmony
Jembatan lintas rantai Harmony Horizon mengalami kerugian lebih dari 100 juta USD, yang diduga disebabkan oleh kebocoran kunci pribadi. Analisis menunjukkan ini mungkin juga dilakukan oleh kelompok peretas Korea Utara.
Peretas Korea Utara telah sering melancarkan serangan terhadap industri cryptocurrency dalam beberapa tahun terakhir, banyak perusahaan telah menjadi korban serangan phishing mereka.
Peristiwa Ankr
Kontrak staking Ankr dikendalikan dengan kunci pribadi oleh mantan karyawan, menyebabkan sejumlah besar token dicetak secara jahat. Ini mengungkapkan adanya masalah serius dalam manajemen hak akses dan sistem keamanan internal proyek.
Peristiwa Mango
Penyerang memanfaatkan celah dalam model bisnis platform perdagangan Mango, dengan memanipulasi harga token bernilai kecil untuk meraih keuntungan lebih dari 100 juta dolar.
Ini mengingatkan pihak proyek untuk mempertimbangkan berbagai skenario ekstrem untuk pengujian. Pengguna yang berpartisipasi dalam proyek juga harus memperhatikan apakah ada celah dalam model bisnis yang dapat dimanfaatkan.