Analisis Serangan Hacker Terbesar dalam Sejarah Web3

Pada 21 Februari 2025, dompet dingin Ethereum dari platform perdagangan terkenal mengalami kecelakaan keamanan besar, yang menyebabkan sekitar 1,46 miliar dolar AS aset kripto dipindahkan ke alamat yang tidak diketahui. Peristiwa ini dianggap sebagai salah satu serangan hacker terbesar dalam sejarah Web3, yang memicu perhatian luas di kalangan industri terhadap masalah keamanan.

Tinjauan Proses Serangan

Penyerang menggunakan teknik phishing yang dirancang dengan cermat untuk membujuk penandatangan dompet multisig agar menyetujui transaksi jahat. Langkah-langkah spesifiknya adalah sebagai berikut:

1. Mengdeploy kontrak jahat yang mengandung pintu belakang untuk transfer dana.
2. Memanipulasi antarmuka depan Safe, sehingga informasi transaksi yang dilihat oleh penandatangan tidak sesuai dengan data yang sebenarnya dikirim ke dompet perangkat keras.
3. Menggunakan antarmuka yang dipalsukan untuk mendapatkan tiga tanda tangan yang valid, mengganti kontrak implementasi dompet multi-tanda tangan Safe dengan versi berbahaya.
4. Mengontrol dompet dingin dan mentransfer aset kripto dalam jumlah besar.

Penelitian menemukan

Perusahaan keamanan Sygnia yang ditugaskan untuk melakukan investigasi forensik telah merilis laporan awal, temuan utama termasuk:

• Ditemukan kode JavaScript jahat yang disuntikkan di bucket AWS S3 Safe.
• Analisis kode menunjukkan bahwa tujuan utamanya adalah memanipulasi konten transaksi selama proses penandatanganan.
• Sumber serangan diduga berasal dari infrastruktur AWS Safe, bukan dari sistem platform perdagangan itu sendiri.
• Dalam waktu singkat setelah transaksi selesai, kode jahat dihapus dari bucket S3.

Penyelidikan saat ini masih berlangsung untuk mengonfirmasi temuan awal ini lebih lanjut.

Analisis Kerentanan Keamanan

Kejadian ini mengungkapkan beberapa celah keamanan kunci:

1. Keamanan Penyimpanan Awan: Bucket penyimpanan AWS S3 diretas yang mengakibatkan kode JavaScript diubah.
2. Validasi front-end yang tidak memadai: Front-end Safe tidak menerapkan validasi integritas sumber daya dasar SRI(.
3. Keterbatasan dompet perangkat keras: tidak dapat menguraikan dan menampilkan data transaksi yang kompleks secara lengkap, yang mengakibatkan risiko "tanda buta".
4. Mekanisme tanda tangan ganda gagal: tidak berhasil mencegah pelaksanaan transaksi jahat.

![Apakah pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang frontend?])https://img-cdn.gateio.im/webp-social/moments-7459ae123ad754ab26d265aa5c612554.webp(

Tantangan Baru Keamanan Frontend Web3

Seiring dengan perkembangan teknologi Web3, batas antara keamanan frontend dan keamanan blockchain semakin kabur. Kerentanan frontend tradisional diberi dimensi serangan baru di lingkungan Web3, sementara kerentanan kontrak pintar dan masalah pengelolaan kunci pribadi semakin memperbesar risiko.

) Skenario 1: Modifikasi Parameter Transaksi

Penyerang mungkin dapat memanipulasi kode frontend, sehingga informasi transaksi yang ditampilkan di antarmuka pengguna tidak sesuai dengan operasi yang sebenarnya dilakukan. Misalnya, yang dilihat pengguna adalah operasi transfer, sementara yang sebenarnya dilakukan adalah operasi otorisasi.

Solusi: Menggunakan verifikasi tanda tangan terstruktur EIP-712, memastikan data yang dihasilkan di front-end dapat diverifikasi dalam kontrak pintar, mencegah pem篡篡参数.

Skenario Dua: Pembajakan Tanda Tangan Buta

Penyerang mungkin dapat memanipulasi aturan parsing dompet keras, memicu pengguna untuk menandatangani transaksi yang tampaknya tidak berbahaya tetapi sebenarnya berbahaya.

Solusi: Tingkatkan firmware dompet keras untuk mendukung EIP-712, dan terapkan pencocokan semantik yang ketat di blockchain untuk memastikan konsistensi dan keamanan konten transaksi.

![Apakah pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang front-end?]###https://img-cdn.gateio.im/webp-social/moments-c2097f94873e8dd960c76f6a66677f53.webp(

Saran Keamanan

1. Melaksanakan mekanisme verifikasi keamanan multi-level, termasuk frontend, dompet perangkat keras, dan kontrak pintar.
2. Meningkatkan manajemen keamanan penyimpanan awan dan infrastruktur.
3. Meningkatkan kemampuan analisis dan tampilan transaksi dompet perangkat keras.
4. Lakukan audit keamanan dan pemindaian kerentanan secara berkala.
5. Meningkatkan kesadaran keamanan pengguna, waspada terhadap berbagai metode phishing dan penipuan.

![Apakah pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembang frontend?])https://img-cdn.gateio.im/webp-social/moments-740aeb7db597b7e46d23b958f7ad918c.webp(

Kesimpulan

Serangan besar-besaran terhadap Bybit menyoroti masalah mendalam dalam manajemen keamanan dan arsitektur teknologi di industri cryptocurrency. Dengan terus berkembangnya metode serangan, industri perlu meningkatkan kemampuan perlindungan secara menyeluruh dari berbagai aspek, mulai dari keamanan perangkat, verifikasi transaksi hingga mekanisme pengendalian risiko. Pengembang front-end perlu melakukan verifikasi ketat pada setiap tahap, termasuk akses DApp, koneksi dompet, tanda tangan pesan, dan tanda tangan transaksi, untuk mewujudkan peralihan dari pertahanan pasif ke imunitas aktif. Hanya dengan cara ini, nilai setiap transaksi dan kepercayaan pengguna dapat benar-benar dilindungi dalam dunia terbuka Web3.

![Apakah pencurian terbesar dalam sejarah Web3 adalah kesalahan pengembangan frontend?])https://img-cdn.gateio.im/webp-social/moments-10f36747a8c10ec675545d45b3dfd8dc.webp(