Platform perdagangan Web3 diserang dompet dingin senilai 1,46 miliar dolar, keamanan frontend menjadi fokus.

Analisis Kejadian Keamanan Web3: Dompet Dingin pada Platform Tertentu Mengalami Serangan Besar

Pada 21 Februari 2025, dompet dingin Ethereum dari sebuah platform perdagangan terkenal diserang, sekitar 401.346 ETH, 15.000 cmETH, 8.000 mETH, 90.375 stETH, dan 90 USDT dipindahkan ke alamat yang tidak diketahui, dengan total nilai sekitar 1,46 miliar dolar AS.

Penyerang menggunakan metode phishing untuk membujuk penandatangan dompet multi-tanda tangan di platform tersebut untuk menandatangani transaksi berbahaya. Langkah-langkah serangan adalah sebagai berikut:

  1. Penyerang menyebarkan kontrak jahat yang mengandung pintu belakang untuk transfer dana.
  2. Mengubah antarmuka manajemen keamanan, sehingga informasi transaksi yang dilihat penandatangan tidak konsisten dengan data yang sebenarnya dikirim ke Dompet keras.
  3. Dengan mendapatkan tiga tanda tangan yang valid melalui antarmuka palsu, mengganti kontrak implementasi dompet multi-tanda tangan dengan versi berbahaya, kemudian mengendalikan Cold Wallet dan memindahkan dana.

Perusahaan keamanan yang ditugaskan untuk melakukan penyelidikan forensik saat ini menemukan:

  • Di penyimpanan cloud platform manajemen keamanan, sumber daya telah disuntik dengan kode JavaScript berbahaya.
  • Analisis kode menunjukkan bahwa tujuan utamanya adalah memanipulasi konten transaksi selama proses tanda tangan.
  • Kode jahat memiliki kondisi aktivasi, hanya terpicu di alamat kontrak tertentu.
  • Setelah eksekusi transaksi jahat, versi terbaru dari sumber daya JavaScript diunggah, menghapus kode jahat.
  • Penilaian awal menyerang berasal dari infrastruktur cloud platform manajemen keamanan.
  • Saat ini tidak ada tanda-tanda bahwa infrastruktur dasar platform perdagangan itu sendiri telah disusupi.

Apakah peristiwa peretasan terbesar dalam sejarah Web3 adalah kesalahan pengembangan frontend?

Dari informasi yang ada, frontend bukanlah masalah utama, kuncinya adalah layanan penyimpanan awan yang diretas sehingga JavaScript dimodifikasi. Namun, jika platform manajemen keamanan frontend menerapkan verifikasi integritas dasar, meskipun JavaScript diubah, itu tidak akan menyebabkan konsekuensi yang begitu serius. Tentu saja, platform perdagangan juga tidak bisa lepas dari kesalahan, mereka mengonfirmasi tanpa informasi transaksi spesifik yang ditampilkan di dompet keras, kepercayaan terhadap frontend platform manajemen keamanan itu sendiri sudah memiliki risiko.

Dompet keras memiliki keterbatasan dalam menangani transaksi yang kompleks, tidak dapat sepenuhnya menganalisis dan menampilkan data transaksi rinci dari dompet tanda tangan ganda, yang menyebabkan penandatangan melakukan "tanda tangan buta" tanpa sepenuhnya memverifikasi konten transaksi.

Apakah kasus pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang frontend?

Hacker ahli dalam memanfaatkan cacat desain dalam proses interaksi untuk menipu aset pengguna, seperti pembajakan UI, tanda tangan penipuan, penggunaan tanda tangan buta, penyalahgunaan tanda tangan Permit, TransferFrom nol phishing, skema airdrop dengan nomor akhir yang sama, phishing NFT, dan lain-lain.

Seiring dengan perkembangan teknologi Web3, batas antara keamanan frontend dan keamanan blockchain semakin kabur. Kerentanan frontend tradisional diberikan dimensi serangan baru dalam skenario Web3, dan masalah seperti kerentanan kontrak pintar dan kekurangan dalam pengelolaan kunci privat semakin memperbesar risiko.

Apakah kasus pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang front-end?

Parameter Transaksi Dimanipulasi: Antarmuka Menampilkan Transfer, Eksekusi Otorisasi Sebenarnya

Pengguna melihat pop-up dompet yang menampilkan "Transfer 1 ETH ke 0xUser...", tetapi yang sebenarnya dieksekusi di blockchain adalah "approve(attacker, unlimited)", aset dapat dipindahkan kapan saja.

Solusi: Verifikasi tanda tangan terstruktur EIP-712

  1. Menghasilkan data yang dapat diverifikasi di frontend
  2. Verifikasi Tanda Tangan Kontrak Pintar

Dengan demikian, setiap pemalsuan parameter frontend akan menyebabkan ketidakcocokan tanda tangan, dan transaksi akan secara otomatis dibatalkan.

Apakah pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembangan frontend?

Pembajakan Tanda Tangan Buta: Alasan Dompet Keras Diretas

Penyerang mungkin mengambil alih kode frontend, mengirimkan calldata yang dipalsukan ke Dompet Keras. Layar Dompet Keras menampilkan informasi transaksi yang normal, tetapi yang sebenarnya dieksekusi adalah "approve(attacker, unlimited)".

Solusi: analisis semantik dompet keras + verifikasi kedua di blockchain

  1. Tingkatkan firmware dompet keras untuk mendukung EIP-712
  2. Pencocokan Semantik Paksa di Rantai

Apakah pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang front-end?

Kesimpulan

Integrasi keamanan frontend dan keamanan Web3 adalah tantangan sekaligus peluang. Peristiwa ini mengungkapkan masalah mendalam dalam manajemen keamanan dan arsitektur teknologi di industri cryptocurrency. Industri perlu meningkatkan kemampuan perlindungan secara menyeluruh dari berbagai aspek seperti keamanan perangkat, verifikasi transaksi, dan mekanisme pengendalian risiko, untuk menghadapi ancaman yang semakin kompleks. Pengembangan frontend harus melakukan verifikasi berulang pada tahap akses DApp, menghubungkan Dompet, tanda tangan pesan, tanda tangan transaksi, dan pemrosesan pasca-transaksi, untuk mencapai peralihan dari "perbaikan pasif" ke "imunitas aktif". Hanya dengan cara ini, kita dapat melindungi nilai dan kepercayaan setiap transaksi di dunia terbuka Web3.

Apakah skandal pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang frontend?

Tentu saja, audit keamanan kontrak on-chain sangat penting bagi setiap Dapp. Alat pemindaian keamanan yang dibantu AI dapat memastikan kebenaran kode melalui verifikasi formal dan norma keamanan yang dibantu AI, menyediakan analisis kesamaan kode dan risiko kekayaan intelektual untuk banyak kontrak yang diterapkan, serta memantau secara terus-menerus dan memberi tahu secara instan tentang kemungkinan kerentanan nol hari dan insiden keamanan yang dapat mempengaruhi proyek. Beberapa alat juga memiliki model AI yang dioptimalkan berdasarkan basis data kerentanan yang besar, digunakan untuk mendeteksi berbagai kerentanan nyata dalam kontrak pintar.

Apakah skandal pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang frontend?

ETH2.99%
DAPP-2.75%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • 6
  • Bagikan
Komentar
0/400
GameFiCriticvip
· 17jam yang lalu
Serangan front-end lagi, verifikasi visibilitas data masih belum dilakukan dengan baik.
Lihat AsliBalas0
MidnightSellervip
· 17jam yang lalu
Sangat menarik, ya.
Lihat AsliBalas0
AirdropHuntressvip
· 17jam yang lalu
Empat belas tanda tangan semuanya terjebak, pajak IQ ya.
Lihat AsliBalas0
quiet_lurkervip
· 17jam yang lalu
Masalah keamanan selalu menjadi yang paling sulit!
Lihat AsliBalas0
BoredApeResistancevip
· 17jam yang lalu
Dianggap Bodoh lagi, Web3 ada apa?
Lihat AsliBalas0
ChainWallflowervip
· 17jam yang lalu
Ini terlalu kejam, Turun 50% banyak orang.
Lihat AsliBalas0
  • Sematkan
Perdagangkan Kripto Di Mana Saja Kapan Saja
qrCode
Pindai untuk mengunduh aplikasi Gate
Komunitas
Bahasa Indonesia
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)