Kejadian keamanan terbesar dalam sejarah Ethereum: Dompet dingin suatu platform perdagangan mengalami kerugian sebesar 14,6 juta dolar.
Pada tanggal 21 Februari 2025, pukul 02:16:11 UTC, dompet dingin Ethereum dari sebuah platform perdagangan terkenal mengalami pencurian dana akibat peningkatan kontrak jahat. CEO platform tersebut menyatakan bahwa penyerang menggunakan metode phishing untuk menipu penandatangan dompet dingin agar salah menandatangani transaksi berbahaya. Transaksi ini disamarkan sebagai operasi normal, dengan antarmuka yang menunjukkan sebagai transaksi biasa, tetapi data yang dikirim ke perangkat keras telah dimanipulasi menjadi konten berbahaya. Penyerang berhasil memperoleh tiga tanda tangan yang valid dan mengganti kontrak implementasi dompet multi-tanda tangan Safe dengan versi jahat, sehingga mencuri dana. Peristiwa ini menyebabkan kerugian sekitar 1,46 miliar dolar, menjadi insiden keamanan terbesar dalam sejarah Web3.0.
Analisis Proses Serangan
Penyerang telah menyebarkan dua kontrak jahat yang mengandung pintu belakang untuk pemindahan dana dan fungsi peningkatan kontrak tiga hari sebelum kejadian.
Pada 21 Februari 2025, penyerang membujuk tiga pemilik dompet multi-tanda tangan untuk menandatangani transaksi jahat, mengupgrade kontrak implementasi Safe menjadi versi jahat yang memiliki pintu belakang.
Nilai bidang "operation" dalam transaksi serangan adalah "1", menunjukkan kontrak GnosisSafe untuk mengeksekusi "deleGatecall".
Transaksi ini melakukan panggilan delegasi ke kontrak lain yang diterapkan oleh penyerang, yang berisi fungsi "transfer()", yang saat dipanggil mengubah slot penyimpanan pertama dari kontrak.
Dengan memodifikasi slot penyimpanan pertama dari kontrak Gnosis Safe, penyerang mengubah alamat kontrak implementasi (yaitu alamat "masterCopy").
Metode peningkatan kontrak yang digunakan oleh penyerang dirancang khusus untuk menghindari kecurigaan. Dari sudut pandang penandatangan, data yang ditandatangani terlihat seperti panggilan fungsi sederhana "transfer(address, uint256)", bukan fungsi "upgrade" yang mencurigakan.
Kontrak implementasi jahat setelah peningkatan mengandung fungsi pintu belakang "sweepETH()" dan "sweepERC20()", penyerang memindahkan semua aset di dalam dompet dingin dengan memanggil fungsi-fungsi ini.
Analisis Sumber Kerentanan
Penyebab mendasar dari kejadian ini adalah serangan phishing yang berhasil. Penyerang menipu penandatangan dompet untuk menandatangani data transaksi jahat, yang mengakibatkan kontrak diupgrade secara jahat, memungkinkan penyerang mengontrol cold wallet dan memindahkan semua dana.
Menurut penjelasan CEO platform tersebut, saat kejadian tim sedang melakukan operasi pemindahan aset dompet dingin dan panas yang rutin. Dia menyatakan bahwa semua penandatangan melihat alamat dan data transaksi yang benar di antarmuka, dan URL telah diverifikasi secara resmi. Namun, ketika data transaksi dikirim ke dompet perangkat keras untuk ditandatangani, konten sebenarnya telah diubah. CEO mengakui bahwa dia tidak melakukan verifikasi ulang detail transaksi di antarmuka perangkat keras.
Saat ini, belum ada kesimpulan tentang bagaimana penyerang memanipulasi antarmuka. Bukti yang diberikan oleh analis on-chain menunjukkan bahwa serangan ini mungkin direncanakan dan dilaksanakan oleh organisasi peretas terkenal.
Pelajaran dan Saran Pencegahan
Peristiwa ini memiliki kesamaan dengan kasus pencurian sebesar 50 juta dolar yang terjadi di suatu platform DeFi pada 16 Oktober 2024. Kedua peristiwa tersebut melibatkan peretasan perangkat dan pemalsuan antarmuka. Mengingat serangan semacam ini semakin sering terjadi, kita perlu fokus pada dua aspek berikut:
1. Mencegah invasi perangkat
Memperkuat keamanan perangkat: menerapkan kebijakan keamanan titik akhir yang ketat, menerapkan solusi keamanan canggih.
Menggunakan perangkat tanda tangan khusus: melakukan penandatanganan transaksi di lingkungan terisolasi, hindari menggunakan perangkat multifungsi.
Menggunakan sistem operasi sementara: Mengonfigurasi sistem operasi non-permanen untuk operasi kunci, memastikan lingkungan bersih.
Melaksanakan simulasi phishing: Secara berkala melakukan simulasi serangan phishing terhadap personel berisiko tinggi untuk meningkatkan kesadaran keamanan.
Melakukan latihan serangan dan pertahanan tim merah: mensimulasikan skenario serangan nyata, mengevaluasi dan memperkuat langkah-langkah keamanan yang ada.
2. Hindari risiko tanda tangan buta
Pilih platform interaksi dengan hati-hati: hanya berinteraksi dengan platform yang terpercaya, gunakan bookmark resmi untuk menghindari tautan phishing.
Verifikasi kedua dompet perangkat keras: Periksa dengan cermat setiap detail transaksi di layar perangkat keras.
Simulasi perdagangan: Simulasi hasil perdagangan sebelum menandatangani, untuk memverifikasi kebenarannya.
Gunakan alat baris perintah: mengurangi ketergantungan pada antarmuka grafis, memperoleh pandangan data transaksi yang lebih transparan.
Prinsip penghentian segera: Segera hentikan penandatanganan dan mulai penyelidikan jika ada anomali yang ditemukan.
Terapkan verifikasi dua perangkat: gunakan perangkat terpisah untuk memverifikasi data transaksi dan menghasilkan kode verifikasi tanda tangan yang dapat dibaca.
Kejadian ini sekali lagi menyoroti adanya celah besar dalam keamanan operasional di industri Web3.0. Dengan meningkatnya metode serangan, platform perdagangan dan institusi Web3.0 harus secara menyeluruh meningkatkan tingkat perlindungan keamanan, waspada terhadap evolusi ancaman eksternal yang terus berlanjut.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
9
Posting ulang
Bagikan
Komentar
0/400
SignatureAnxiety
· 08-18 22:13
Mengapa sulit sekali untuk menandatangani?
Lihat AsliBalas0
AllInDaddy
· 08-18 20:46
Wah, kerugian besar ini.
Lihat AsliBalas0
ForkThisDAO
· 08-17 20:37
又一个 pertukaran doomed了
Lihat AsliBalas0
RetiredMiner
· 08-17 03:40
Penipuan Pig-butchering berevolusi menjadi versi Cold Wallet?
Lihat AsliBalas0
GasGuru
· 08-17 03:39
Ayo mulai! Multi-signature juga tidak dapat diandalkan lagi.
Lihat AsliBalas0
SolidityStruggler
· 08-17 03:36
Setiap hari berbicara tentang keamanan, setiap hari dicuri.
Insiden keamanan terbesar dalam sejarah Ethereum: Dompet dingin pertukaran dicuri sebesar 14,6 juta dolar.
Kejadian keamanan terbesar dalam sejarah Ethereum: Dompet dingin suatu platform perdagangan mengalami kerugian sebesar 14,6 juta dolar.
Pada tanggal 21 Februari 2025, pukul 02:16:11 UTC, dompet dingin Ethereum dari sebuah platform perdagangan terkenal mengalami pencurian dana akibat peningkatan kontrak jahat. CEO platform tersebut menyatakan bahwa penyerang menggunakan metode phishing untuk menipu penandatangan dompet dingin agar salah menandatangani transaksi berbahaya. Transaksi ini disamarkan sebagai operasi normal, dengan antarmuka yang menunjukkan sebagai transaksi biasa, tetapi data yang dikirim ke perangkat keras telah dimanipulasi menjadi konten berbahaya. Penyerang berhasil memperoleh tiga tanda tangan yang valid dan mengganti kontrak implementasi dompet multi-tanda tangan Safe dengan versi jahat, sehingga mencuri dana. Peristiwa ini menyebabkan kerugian sekitar 1,46 miliar dolar, menjadi insiden keamanan terbesar dalam sejarah Web3.0.
Analisis Proses Serangan
Penyerang telah menyebarkan dua kontrak jahat yang mengandung pintu belakang untuk pemindahan dana dan fungsi peningkatan kontrak tiga hari sebelum kejadian.
Pada 21 Februari 2025, penyerang membujuk tiga pemilik dompet multi-tanda tangan untuk menandatangani transaksi jahat, mengupgrade kontrak implementasi Safe menjadi versi jahat yang memiliki pintu belakang.
Nilai bidang "operation" dalam transaksi serangan adalah "1", menunjukkan kontrak GnosisSafe untuk mengeksekusi "deleGatecall".
Transaksi ini melakukan panggilan delegasi ke kontrak lain yang diterapkan oleh penyerang, yang berisi fungsi "transfer()", yang saat dipanggil mengubah slot penyimpanan pertama dari kontrak.
Dengan memodifikasi slot penyimpanan pertama dari kontrak Gnosis Safe, penyerang mengubah alamat kontrak implementasi (yaitu alamat "masterCopy").
Metode peningkatan kontrak yang digunakan oleh penyerang dirancang khusus untuk menghindari kecurigaan. Dari sudut pandang penandatangan, data yang ditandatangani terlihat seperti panggilan fungsi sederhana "transfer(address, uint256)", bukan fungsi "upgrade" yang mencurigakan.
Kontrak implementasi jahat setelah peningkatan mengandung fungsi pintu belakang "sweepETH()" dan "sweepERC20()", penyerang memindahkan semua aset di dalam dompet dingin dengan memanggil fungsi-fungsi ini.
Analisis Sumber Kerentanan
Penyebab mendasar dari kejadian ini adalah serangan phishing yang berhasil. Penyerang menipu penandatangan dompet untuk menandatangani data transaksi jahat, yang mengakibatkan kontrak diupgrade secara jahat, memungkinkan penyerang mengontrol cold wallet dan memindahkan semua dana.
Menurut penjelasan CEO platform tersebut, saat kejadian tim sedang melakukan operasi pemindahan aset dompet dingin dan panas yang rutin. Dia menyatakan bahwa semua penandatangan melihat alamat dan data transaksi yang benar di antarmuka, dan URL telah diverifikasi secara resmi. Namun, ketika data transaksi dikirim ke dompet perangkat keras untuk ditandatangani, konten sebenarnya telah diubah. CEO mengakui bahwa dia tidak melakukan verifikasi ulang detail transaksi di antarmuka perangkat keras.
Saat ini, belum ada kesimpulan tentang bagaimana penyerang memanipulasi antarmuka. Bukti yang diberikan oleh analis on-chain menunjukkan bahwa serangan ini mungkin direncanakan dan dilaksanakan oleh organisasi peretas terkenal.
Pelajaran dan Saran Pencegahan
Peristiwa ini memiliki kesamaan dengan kasus pencurian sebesar 50 juta dolar yang terjadi di suatu platform DeFi pada 16 Oktober 2024. Kedua peristiwa tersebut melibatkan peretasan perangkat dan pemalsuan antarmuka. Mengingat serangan semacam ini semakin sering terjadi, kita perlu fokus pada dua aspek berikut:
1. Mencegah invasi perangkat
2. Hindari risiko tanda tangan buta
Kejadian ini sekali lagi menyoroti adanya celah besar dalam keamanan operasional di industri Web3.0. Dengan meningkatnya metode serangan, platform perdagangan dan institusi Web3.0 harus secara menyeluruh meningkatkan tingkat perlindungan keamanan, waspada terhadap evolusi ancaman eksternal yang terus berlanjut.