10 Peristiwa Keamanan Teratas di Bidang Web3 Tahun 2024
Pada tahun 2024, industri Web3 menghadapi tantangan keamanan yang semakin serius sambil terus berinovasi dan berkembang. Menurut statistik, hingga akhir tahun, total kerugian di bidang Web3 akibat serangan hacker, penipuan, dan penggelapan oleh pihak proyek mencapai 24,91 miliar dolar AS.
Peristiwa keamanan ini tidak hanya mengekspos kekurangan teknis dalam pengelolaan kunci pribadi, kontrak pintar, dan aspek lainnya, tetapi juga menyoroti risiko potensial dari serangan rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan teratas di bidang Web3 pada tahun 2024, untuk membantu industri mengambil pelajaran dan lebih baik dalam menghadapi ancaman keamanan di masa depan.
1. Sebuah bursa Jepang mengalami serangan besar
Jumlah kerugian: 3,04 juta dolar AS
Metode serangan: kebocoran kunci pribadi
Pada 31 Mei 2024, sebuah bursa cryptocurrency terkenal di Jepang mengalami serangan bersejarah. Para peretas memanfaatkan kunci pribadi yang bocor untuk secara langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Peristiwa ini mengungkapkan kekurangan serius bursa dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis. Meskipun bursa mencoba melacak para peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri telah dipindahkan secara terdistribusi dan dibersihkan menggunakan alat pencampur, yang menyebabkan tantangan besar dalam pekerjaan pelacakan.
Pada akhir tahun, polisi Jepang mengakui bahwa serangan ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp Mengalami Kerugian Besar
Jumlah kerugian: 2,90 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada tanggal 9 Februari 2024, PlayDapp mengalami pukulan berat, di mana peretas mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena pihak proyek gagal bernegosiasi dengan peretas, peretas kemudian mencetak 15,9 miliar token PLA, bernilai 253,9 juta dolar AS. Setelah sebagian token masuk ke bursa, PlayDapp terpaksa menghentikan kontrak PLA dan berpindah ke kontrak token baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.
3. Bursa kripto terbesar di India diserang
Jumlah kerugian: 235 juta dolar AS
Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multisig dari bursa cryptocurrency terbesar di India menjadi target serangan siber yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multisig untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak akses dari kontrak yang telah ditingkatkan untuk memindahkan semua aset dalam dompet tersebut. Kasus ini menyoroti risiko potensial dari dompet multisig dalam pengelolaan konfigurasi hak akses dan transparansi operasional, serta memicu refleksi mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games Mengalami Kerugian Besar
Jumlah kerugian: 2,16 juta dolar AS
Metode serangan: Kerentanan kontrol akses
Pada tanggal 20 Mei 2024, sebuah alamat khusus Gala Games diretas, dan penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dalam kontrak token. Setelah itu, penyerang menukarkan token yang ditambahkan secara bertahap menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun penyerang setelah kejadian, dan melalui jalur hukum berhasil memulihkan sebagian kerugian.
5. Dompet pribadi salah satu pendiri Ripple diretas
Jumlah kerugian: 1,12 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet tersebut diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah bursa besar berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables Mengalami Serangan Peretasan Internal
Jumlah kerugian: 62,5 juta dolar AS
Metode serangan: serangan rekayasa sosial
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang langka. Penyerang adalah peretas yang menyamar sebagai pengembang blockchain, yang memperoleh kode inti dan kunci sensitif melalui penyusupan jangka panjang. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Bursa kripto terbesar di Turki diserang
Jumlah kerugian: 55 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 22 Juni 2024, bursa kripto terbesar di Turki mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim dari bursa tertentu, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar mengenai pengelolaan kunci pribadi di bursa terpusat.
8. Dompet Multi-tanda Tangan Radiant Capital Diterobos
Jumlah kerugian: 53 juta dolar AS
Metode serangan: kebocoran kunci pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas rendah, hacker berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar AS dan lebih dari 1900 ETH akibat celah kontrak sebelum serangan ini. Ini menunjukkan bahwa perhatian proyek Web3 terhadap keamanan masih perlu ditingkatkan.
9. Kontrak Hedgey Finance Diserang
Jumlah kerugian: 44,7 juta dolar AS
Metode serangan: Kerentanan kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Kejadian ini menunjukkan pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.
10. Dompet panas suatu bursa cryptocurrency diserang
Jumlah kerugian: 44,7 juta dolar AS
Metode serangan: Kebocoran kunci pribadi
Pada 19 September 2024, dompet panas sebuah bursa cryptocurrency diretas, melibatkan beberapa rantai termasuk Ethereum, BNB Chain, Tron, dan lainnya. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil menarik aset senilai 44,7 juta dolar. Serangan ini mencerminkan tingginya risiko pengelolaan dompet panas bursa terpusat dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangkaian serangan keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari pengawalan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap peristiwa membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, standar manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih andal bagi pengguna dan investor.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Meninjau sepuluh peristiwa keamanan terbesar di bidang Web3 tahun 2024 dengan kerugian mencapai 24,91 miliar dolar.
10 Peristiwa Keamanan Teratas di Bidang Web3 Tahun 2024
Pada tahun 2024, industri Web3 menghadapi tantangan keamanan yang semakin serius sambil terus berinovasi dan berkembang. Menurut statistik, hingga akhir tahun, total kerugian di bidang Web3 akibat serangan hacker, penipuan, dan penggelapan oleh pihak proyek mencapai 24,91 miliar dolar AS.
Peristiwa keamanan ini tidak hanya mengekspos kekurangan teknis dalam pengelolaan kunci pribadi, kontrak pintar, dan aspek lainnya, tetapi juga menyoroti risiko potensial dari serangan rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan teratas di bidang Web3 pada tahun 2024, untuk membantu industri mengambil pelajaran dan lebih baik dalam menghadapi ancaman keamanan di masa depan.
1. Sebuah bursa Jepang mengalami serangan besar
Jumlah kerugian: 3,04 juta dolar AS Metode serangan: kebocoran kunci pribadi
Pada 31 Mei 2024, sebuah bursa cryptocurrency terkenal di Jepang mengalami serangan bersejarah. Para peretas memanfaatkan kunci pribadi yang bocor untuk secara langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Peristiwa ini mengungkapkan kekurangan serius bursa dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis. Meskipun bursa mencoba melacak para peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri telah dipindahkan secara terdistribusi dan dibersihkan menggunakan alat pencampur, yang menyebabkan tantangan besar dalam pekerjaan pelacakan.
Pada akhir tahun, polisi Jepang mengakui bahwa serangan ini dilakukan oleh kelompok peretas Korea Utara, Lazarus Group.
2. PlayDapp Mengalami Kerugian Besar
Jumlah kerugian: 2,90 juta dolar AS Metode serangan: Kebocoran kunci pribadi
Pada tanggal 9 Februari 2024, PlayDapp mengalami pukulan berat, di mana peretas mencuri kunci pribadi dan mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena pihak proyek gagal bernegosiasi dengan peretas, peretas kemudian mencetak 15,9 miliar token PLA, bernilai 253,9 juta dolar AS. Setelah sebagian token masuk ke bursa, PlayDapp terpaksa menghentikan kontrak PLA dan berpindah ke kontrak token baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.
3. Bursa kripto terbesar di India diserang
Jumlah kerugian: 235 juta dolar AS Metode Serangan: Serangan Jaringan dan Phishing
Pada 18 Juli 2024, dompet multisig dari bursa cryptocurrency terbesar di India menjadi target serangan siber yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multisig untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak akses dari kontrak yang telah ditingkatkan untuk memindahkan semua aset dalam dompet tersebut. Kasus ini menyoroti risiko potensial dari dompet multisig dalam pengelolaan konfigurasi hak akses dan transparansi operasional, serta memicu refleksi mendalam di industri tentang mekanisme pengendalian risiko dan keamanan internal proyek.
4. Gala Games Mengalami Kerugian Besar
Jumlah kerugian: 2,16 juta dolar AS Metode serangan: Kerentanan kontrol akses
Pada tanggal 20 Mei 2024, sebuah alamat khusus Gala Games diretas, dan penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dalam kontrak token. Setelah itu, penyerang menukarkan token yang ditambahkan secara bertahap menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun penyerang setelah kejadian, dan melalui jalur hukum berhasil memulihkan sebagian kerugian.
5. Dompet pribadi salah satu pendiri Ripple diretas
Jumlah kerugian: 1,12 juta dolar AS Metode serangan: Kebocoran kunci pribadi
Pada 31 Januari 2024, empat dompet pribadi co-founder Ripple, Chris Larsen, diretas, mengakibatkan pencurian XRP senilai 112 juta dolar AS. Dompet tersebut diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah bursa besar berhasil membekukan XRP senilai 4,2 juta dolar AS dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.
6. Munchables Mengalami Serangan Peretasan Internal
Jumlah kerugian: 62,5 juta dolar AS Metode serangan: serangan rekayasa sosial
Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan penetrasi internal yang langka. Penyerang adalah peretas yang menyamar sebagai pengembang blockchain, yang memperoleh kode inti dan kunci sensitif melalui penyusupan jangka panjang. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.
7. Bursa kripto terbesar di Turki diserang
Jumlah kerugian: 55 juta dolar AS Metode serangan: Kebocoran kunci pribadi
Pada 22 Juni 2024, bursa kripto terbesar di Turki mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan tim dari bursa tertentu, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar mengenai pengelolaan kunci pribadi di bursa terpusat.
8. Dompet Multi-tanda Tangan Radiant Capital Diterobos
Jumlah kerugian: 53 juta dolar AS Metode serangan: kebocoran kunci pribadi
Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas rendah, hacker berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian sebesar 53 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisig.
Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar AS dan lebih dari 1900 ETH akibat celah kontrak sebelum serangan ini. Ini menunjukkan bahwa perhatian proyek Web3 terhadap keamanan masih perlu ditingkatkan.
9. Kontrak Hedgey Finance Diserang
Jumlah kerugian: 44,7 juta dolar AS Metode serangan: Kerentanan kontrak
Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Peretas memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token dari dua rantai, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Kejadian ini menunjukkan pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.
10. Dompet panas suatu bursa cryptocurrency diserang
Jumlah kerugian: 44,7 juta dolar AS Metode serangan: Kebocoran kunci pribadi
Pada 19 September 2024, dompet panas sebuah bursa cryptocurrency diretas, melibatkan beberapa rantai termasuk Ethereum, BNB Chain, Tron, dan lainnya. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil menarik aset senilai 44,7 juta dolar. Serangan ini mencerminkan tingginya risiko pengelolaan dompet panas bursa terpusat dan mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.
Serangkaian serangan keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari pengawalan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap peristiwa membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak dalam industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, standar manajemen, dan pencegahan risiko. Ke depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih andal bagi pengguna dan investor.