Tinjauan Kejadian Keamanan Web3 Tahun 2024: Sepuluh Kasus Serangan dan Pelajarannya

Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius di tengah inovasi teknologi dan perluasan ekosistem. Menurut data pemantauan, hingga akhir tahun, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 2,491 miliar dolar AS.

Peristiwa-peristiwa ini tidak hanya mengungkapkan kerentanan di tingkat teknis seperti manajemen kunci pribadi dan kontrak pintar, tetapi juga menyoroti risiko potensial dalam rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas di tahun 2024, dengan harapan industri dapat mengambil pelajaran dari situ dan lebih baik dalam menghadapi ancaman keamanan di masa depan.

1. DMM Bitcoin: Kebocoran kunci pribadi menyebabkan kerugian 304 juta dolar

Pada 31 Mei 2024, bursa cryptocurrency terkenal Jepang, DMM Bitcoin, mengalami insiden keamanan yang serius. Penyerang memanfaatkan kunci pribadi yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar, dan dengan cepat menyebarkan dana yang dicuri ke beberapa alamat yang berbeda. Serangan ini mengungkapkan kekurangan serius bursa dalam manajemen kunci pribadi dan perlindungan keamanan berlapis.

Meskipun bursa mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, pekerjaan pelacakan menghadapi tantangan besar karena Bitcoin yang dicuri dipindahkan secara terdistribusi dan dicuci menggunakan alat pencampuran. Pada akhir tahun, polisi Jepang mengkonfirmasi bahwa insiden ini direncanakan dan dilaksanakan oleh kelompok peretas Korea Utara, Lazarus Group.

2. PlayDapp: Kebocoran Kunci Pribadi Mengakibatkan Kerugian 290 Juta Dolar

Pada 9 Februari 2024, PlayDapp mengalami pukulan berat. Hacker mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan hacker gagal, hacker dalam waktu singkat mencetak 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Setelah sebagian token masuk ke bursa, PlayDapp terpaksa menghentikan kontrak PLA dan berpindah ke kontrak token baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.

3. Sebuah bursa di India: Serangan rekayasa sosial menyebabkan kerugian sebesar 235 juta dolar

Pada 18 Juli 2024, dompet multi-tanda tangan Safe Wallet milik bursa kripto terbesar di India menjadi sasaran serangan siber yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, kemudian memanfaatkan hak akses dari kontrak yang telah ditingkatkan untuk mentransfer semua aset dalam dompet. Kasus ini mengungkapkan potensi risiko dalam pengelolaan konfigurasi hak akses dan transparansi operasional dompet multi-tanda tangan, serta memicu refleksi mendalam di industri tentang mekanisme kontrol risiko dan keamanan internal proyek.

4. Gala Games: Kerentanan kontrol akses menyebabkan kerugian 2,16 miliar dolar

Pada tanggal 20 Mei 2024, sebuah alamat istimewa Gala Games diretas oleh hacker. Penyerang berhasil mencetak 5 miliar token GALA sekaligus dengan memanggil fungsi mint dalam kontrak token. Kemudian, hacker secara bertahap menukar token-token ini menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta USD. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah kejadian tersebut dan menempuh jalur hukum untuk memulihkan sebagian kerugian.

5. Pendiri Bersama Ripple: Kebocoran Kunci Pribadi Mengakibatkan 112 Juta Dolar XRP Dicuri

Pada 31 Januari 2024, empat dompet pribadi dari salah satu pendiri Ripple diretas, mengakibatkan pencurian XRP senilai 112 juta USD. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah bursa berhasil membekukan XRP senilai 4,2 juta USD dan membantu melacak aset yang dicuri, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.

6. Munchables: Serangan penetrasi internal menyebabkan kerugian sebesar 62,5 juta dolar.

Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang jarang terjadi. Penyerang adalah peretas yang menyamar sebagai pengembang blockchain, yang melalui penyamaran jangka panjang berhasil mendapatkan kode inti dan kunci sensitif. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan dari komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama bagi proyek blockchain yang bergantung pada pengembangan pihak ketiga.

7. Salah satu bursa Turki: Kebocoran kunci privat menyebabkan kerugian 55 juta dolar

Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki mengalami serangan kebocoran kunci privat, dengan kerugian lebih dari 55 juta dolar AS dalam aset cryptocurrency. Dengan bantuan tim dari suatu bursa, dana yang dicuri sebesar 5,3 juta dolar AS berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap manajemen kunci privat di bursa terpusat.

8. Radiant Capital: Kerugian sebesar 53 juta dolar akibat dompet multisig diretas

Pada 17 Oktober 2024, dompet multisignature Radiant Capital diserang oleh hacker. Karena menggunakan mode verifikasi tanda tangan 3/11 dengan ambang yang rendah, hacker berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya mengakibatkan pencurian 53 juta dolar. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisignature.

Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar AS dan lebih dari 1900 ETH karena kerentanan kontrak sebelum serangan ini. Ini sekali lagi menunjukkan bahwa tingkat perhatian proyek Web3 terhadap keamanan masih perlu ditingkatkan.

9. Hedgey Finance: Kerentanan Kontrak Menyebabkan Kerugian 44,7 Juta Dolar AS

Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Penyerang memanfaatkan celah persetujuan pada kontrak ClaimCampaigns, berhasil mengekstrak token di dua jaringan Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar. Peristiwa ini menyoroti pentingnya audit kode, terutama verifikasi yang ketat terhadap logika persetujuan token.

10. Platform perdagangan tertentu: Dompet panas diretas dan kehilangan 44,7 juta dolar.

Pada tanggal 19 September 2024, dompet panas dari suatu platform perdagangan diretas oleh hacker, melibatkan beberapa blockchain termasuk Ethereum, BNB Chain, Tron, dan lainnya. Meskipun bursa dengan cepat mengaktifkan mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil mengekstrak aset senilai 44,7 juta dolar AS. Serangan ini mencerminkan tingginya risiko pengelolaan dompet panas di bursa terpusat, dan semakin mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.

Kata Penutup

Serangan keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari perlindungan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian dalam manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian membawa pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian teknologi, standar manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.