10 Peristiwa Keamanan Terbesar di Bidang Web3 Tahun 2024
Pada tahun 2024, industri blockchain yang berkembang pesat juga menghadapi tantangan keamanan yang semakin serius. Menurut statistik, hingga akhir 2024, total kerugian di bidang Web3 akibat serangan hacker, penipuan, dan penggelapan oleh pengembang proyek mencapai 2,491 juta dolar AS. Peristiwa-peristiwa ini tidak hanya memperlihatkan kelemahan di tingkat teknis, seperti manajemen kunci pribadi dan masalah keamanan kontrak pintar, tetapi juga menyoroti pentingnya serangan rekayasa sosial dan risiko manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 yang paling berpengaruh di tahun 2024, dengan harapan dapat memberikan referensi dan peringatan bagi industri.
1. DMM Bitcoin: Kebocoran Kunci Pribadi Menyebabkan Kerugian $304 Juta
Pada 31 Mei 2024, bursa cryptocurrency terkenal di Jepang, DMM Bitcoin, mengalami insiden keamanan besar. Penyerang memanfaatkan kunci privat yang bocor untuk langsung mentransfer lebih dari 300 juta dolar AS dalam Bitcoin, dan dengan cepat mendistribusikan dana ke beberapa alamat. Peristiwa ini mengungkapkan kelemahan serius dalam manajemen kunci privat dan perlindungan keamanan ganda di bursa tersebut. Meskipun bursa telah mengambil langkah-langkah seperti pemantauan on-chain dan pembekuan dana, upaya pemulihan menghadapi tantangan besar karena hacker menggunakan alat pencampur. Di akhir tahun, polisi Jepang mengonfirmasi bahwa serangan ini dilakukan oleh suatu organisasi hacker internasional.
2. PlayDapp: Kebocoran Kunci Pribadi Menyebabkan Kerugian $2,90 Miliar
Pada 9 Februari 2024, proyek PlayDapp mengalami kerugian besar. Hacker mencuri kunci pribadi dan secara ilegal mencetak sejumlah besar token PLA, yang awalnya menyebabkan kerugian sebesar 36,5 juta dolar AS. Karena negosiasi dengan hacker gagal, penyerang lebih lanjut mencetak token senilai 253,9 juta dolar AS. Peristiwa ini memaksa PlayDapp untuk menghentikan kontrak yang ada dan bermigrasi ke kontrak token baru, menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan respons darurat.
3. Sebuah platform trading India: Serangan siber dan phishing menyebabkan kerugian sebesar 235 juta dolar
Pada 18 Juli 2024, platform perdagangan cryptocurrency terbesar di India mengalami serangan yang terencana. Hacker menggunakan metode rekayasa sosial untuk membujuk penandatangan dompet multisig agar menyetujui transaksi peningkatan kontrak, kemudian memanfaatkan hak akses kontrak yang telah diperbarui untuk memindahkan aset di dalam dompet. Kejadian ini mengungkapkan risiko potensial dari dompet multisig dalam hal manajemen hak akses dan transparansi operasional, yang memicu pemikiran mendalam di kalangan industri tentang mekanisme pengendalian risiko internal proyek.
4. Gala Games: Kerentanan Kontrol Akses Menyebabkan Kerugian 216 Juta Dolar
Pada tanggal 20 Mei 2024, sebuah alamat privilese Gala Games diretas. Penyerang memanfaatkan fungsi mint dalam kontrak token untuk mencetak 5 miliar token GALA sekaligus, dan menukarnya menjadi ETH dalam beberapa tahap, menyebabkan kerugian langsung sebesar 216 juta dolar AS. Meskipun tim proyek dengan cepat mengaktifkan fitur blacklist dan mencoba memulihkan sebagian kerugian melalui jalur hukum, insiden ini tetap mengungkapkan celah besar dalam desain kontrak dan manajemen izin.
5. Pendiri cryptocurrency terkenal: dompet pribadi diserang mengalami kerugian 1,12 miliar dolar AS
Pada tanggal 31 Januari 2024, dompet pribadi seorang co-founder terkenal proyek cryptocurrency diretas, mengakibatkan pencurian cryptocurrency senilai 112 juta dolar. Dompet ini mungkin menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Meskipun sebuah platform perdagangan besar berhasil membekukan sebagian dana yang dicuri dan membantu pelacakan, sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables: Serangan penetrasi internal menyebabkan kerugian 62,5 juta dolar
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang jarang terjadi. Penyerang menyamar sebagai pengembang blockchain dan mendapatkan akses ke kode inti dan kunci sensitif setelah menyusup selama waktu yang lama. Meskipun akhirnya semua dana yang dicuri dikembalikan di bawah tekanan dari komunitas dan tim, peristiwa ini menyoroti pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembang pihak ketiga.
7. Sebuah platform pertukaran Turki: Kebocoran kunci pribadi menyebabkan kerugian 55 juta dolar
Pada 22 Juni 2024, platform pertukaran cryptocurrency terbesar di Turki mengalami kebocoran kunci pribadi, mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Meskipun sebagian dana yang dicuri berhasil dibekukan dengan bantuan bursa lain, sebagian besar aset masih belum dapat dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar mengenai kemampuan pengelolaan kunci pribadi di bursa terpusat.
8. Radiant Capital: Dompet multi-tanda tangan diretas, kehilangan 53 juta dolar AS
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang lebih rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, berhasil memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar AS. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig. Menarik untuk dicatat bahwa Radiant Capital baru-baru ini kehilangan 4,5 juta dolar AS karena kerentanan kontrak, menyoroti kurangnya perhatian pihak proyek terhadap keamanan.
9. Hedgey Finance: Kerentanan kontrak menyebabkan kerugian sebesar 44,7 juta dolar
Pada tanggal 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Hacker memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Peristiwa ini sekali lagi menekankan pentingnya audit kode, terutama verifikasi yang ketat terhadap logika persetujuan token.
10. Sebuah bursa kriptocurrency: Dompet panas diretas, kerugian 44,7 juta dolar
Pada 19 September 2024, dompet panas dari sebuah bursa cryptocurrency terkenal diserang oleh peretas, yang melibatkan beberapa blockchain seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, peretas tetap berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini sekali lagi mencerminkan risiko tinggi dalam pengelolaan dompet panas bursa terpusat, mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangkaian insiden keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan sehat industri blockchain tidak dapat dipisahkan dari jaminan keamanan yang kuat. Dari pengelolaan kunci pribadi hingga desain kontrak, dari kontrol internal hingga pertahanan eksternal, setiap insiden telah memberikan peringatan kepada industri. Menghadapi metode serangan yang semakin kompleks, semua pihak dalam industri perlu terus berinvestasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman dan dapat diandalkan, memberikan jaminan yang lebih kuat bagi pengguna dan investor.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Peristiwa Keamanan Web3 2024: Kerugian Hampir 2,5 Miliar Dolar, Kunci Pribadi dan Kerentanan Kontrak Menjadi Penyebab Utama
10 Peristiwa Keamanan Terbesar di Bidang Web3 Tahun 2024
Pada tahun 2024, industri blockchain yang berkembang pesat juga menghadapi tantangan keamanan yang semakin serius. Menurut statistik, hingga akhir 2024, total kerugian di bidang Web3 akibat serangan hacker, penipuan, dan penggelapan oleh pengembang proyek mencapai 2,491 juta dolar AS. Peristiwa-peristiwa ini tidak hanya memperlihatkan kelemahan di tingkat teknis, seperti manajemen kunci pribadi dan masalah keamanan kontrak pintar, tetapi juga menyoroti pentingnya serangan rekayasa sosial dan risiko manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 yang paling berpengaruh di tahun 2024, dengan harapan dapat memberikan referensi dan peringatan bagi industri.
1. DMM Bitcoin: Kebocoran Kunci Pribadi Menyebabkan Kerugian $304 Juta
Pada 31 Mei 2024, bursa cryptocurrency terkenal di Jepang, DMM Bitcoin, mengalami insiden keamanan besar. Penyerang memanfaatkan kunci privat yang bocor untuk langsung mentransfer lebih dari 300 juta dolar AS dalam Bitcoin, dan dengan cepat mendistribusikan dana ke beberapa alamat. Peristiwa ini mengungkapkan kelemahan serius dalam manajemen kunci privat dan perlindungan keamanan ganda di bursa tersebut. Meskipun bursa telah mengambil langkah-langkah seperti pemantauan on-chain dan pembekuan dana, upaya pemulihan menghadapi tantangan besar karena hacker menggunakan alat pencampur. Di akhir tahun, polisi Jepang mengonfirmasi bahwa serangan ini dilakukan oleh suatu organisasi hacker internasional.
2. PlayDapp: Kebocoran Kunci Pribadi Menyebabkan Kerugian $2,90 Miliar
Pada 9 Februari 2024, proyek PlayDapp mengalami kerugian besar. Hacker mencuri kunci pribadi dan secara ilegal mencetak sejumlah besar token PLA, yang awalnya menyebabkan kerugian sebesar 36,5 juta dolar AS. Karena negosiasi dengan hacker gagal, penyerang lebih lanjut mencetak token senilai 253,9 juta dolar AS. Peristiwa ini memaksa PlayDapp untuk menghentikan kontrak yang ada dan bermigrasi ke kontrak token baru, menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan respons darurat.
3. Sebuah platform trading India: Serangan siber dan phishing menyebabkan kerugian sebesar 235 juta dolar
Pada 18 Juli 2024, platform perdagangan cryptocurrency terbesar di India mengalami serangan yang terencana. Hacker menggunakan metode rekayasa sosial untuk membujuk penandatangan dompet multisig agar menyetujui transaksi peningkatan kontrak, kemudian memanfaatkan hak akses kontrak yang telah diperbarui untuk memindahkan aset di dalam dompet. Kejadian ini mengungkapkan risiko potensial dari dompet multisig dalam hal manajemen hak akses dan transparansi operasional, yang memicu pemikiran mendalam di kalangan industri tentang mekanisme pengendalian risiko internal proyek.
4. Gala Games: Kerentanan Kontrol Akses Menyebabkan Kerugian 216 Juta Dolar
Pada tanggal 20 Mei 2024, sebuah alamat privilese Gala Games diretas. Penyerang memanfaatkan fungsi mint dalam kontrak token untuk mencetak 5 miliar token GALA sekaligus, dan menukarnya menjadi ETH dalam beberapa tahap, menyebabkan kerugian langsung sebesar 216 juta dolar AS. Meskipun tim proyek dengan cepat mengaktifkan fitur blacklist dan mencoba memulihkan sebagian kerugian melalui jalur hukum, insiden ini tetap mengungkapkan celah besar dalam desain kontrak dan manajemen izin.
5. Pendiri cryptocurrency terkenal: dompet pribadi diserang mengalami kerugian 1,12 miliar dolar AS
Pada tanggal 31 Januari 2024, dompet pribadi seorang co-founder terkenal proyek cryptocurrency diretas, mengakibatkan pencurian cryptocurrency senilai 112 juta dolar. Dompet ini mungkin menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Meskipun sebuah platform perdagangan besar berhasil membekukan sebagian dana yang dicuri dan membantu pelacakan, sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables: Serangan penetrasi internal menyebabkan kerugian 62,5 juta dolar
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang jarang terjadi. Penyerang menyamar sebagai pengembang blockchain dan mendapatkan akses ke kode inti dan kunci sensitif setelah menyusup selama waktu yang lama. Meskipun akhirnya semua dana yang dicuri dikembalikan di bawah tekanan dari komunitas dan tim, peristiwa ini menyoroti pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembang pihak ketiga.
7. Sebuah platform pertukaran Turki: Kebocoran kunci pribadi menyebabkan kerugian 55 juta dolar
Pada 22 Juni 2024, platform pertukaran cryptocurrency terbesar di Turki mengalami kebocoran kunci pribadi, mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Meskipun sebagian dana yang dicuri berhasil dibekukan dengan bantuan bursa lain, sebagian besar aset masih belum dapat dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar mengenai kemampuan pengelolaan kunci pribadi di bursa terpusat.
8. Radiant Capital: Dompet multi-tanda tangan diretas, kehilangan 53 juta dolar AS
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang lebih rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, berhasil memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar AS. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisig. Menarik untuk dicatat bahwa Radiant Capital baru-baru ini kehilangan 4,5 juta dolar AS karena kerentanan kontrak, menyoroti kurangnya perhatian pihak proyek terhadap keamanan.
9. Hedgey Finance: Kerentanan kontrak menyebabkan kerugian sebesar 44,7 juta dolar
Pada tanggal 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Hacker memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Peristiwa ini sekali lagi menekankan pentingnya audit kode, terutama verifikasi yang ketat terhadap logika persetujuan token.
10. Sebuah bursa kriptocurrency: Dompet panas diretas, kerugian 44,7 juta dolar
Pada 19 September 2024, dompet panas dari sebuah bursa cryptocurrency terkenal diserang oleh peretas, yang melibatkan beberapa blockchain seperti Ethereum, BNB Chain, dan Tron. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, peretas tetap berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini sekali lagi mencerminkan risiko tinggi dalam pengelolaan dompet panas bursa terpusat, mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangkaian insiden keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan sehat industri blockchain tidak dapat dipisahkan dari jaminan keamanan yang kuat. Dari pengelolaan kunci pribadi hingga desain kontrak, dari kontrol internal hingga pertahanan eksternal, setiap insiden telah memberikan peringatan kepada industri. Menghadapi metode serangan yang semakin kompleks, semua pihak dalam industri perlu terus berinvestasi dalam pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman dan dapat diandalkan, memberikan jaminan yang lebih kuat bagi pengguna dan investor.