Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Sepuluh Serangan Mengakibatkan Kerugian Lebih dari 1,9 Miliar Dolar

Dalam beberapa tahun terakhir, jembatan lintas rantai telah menjadi target populer serangan peretas. Karena jembatan lintas rantai mengelola sejumlah besar dana dan seringkali memiliki celah keamanan, mereka telah menjadi daerah berisiko tinggi. Artikel ini meninjau sepuluh insiden serangan jembatan lintas rantai yang signifikan, dengan total dana yang terlibat melebihi 1,9 miliar dolar AS, di mana sekitar 1,55 miliar dolar AS telah berhasil dipulihkan atau dibayarkan.

1. ChainSwap: Kerugian sekitar 8,8 juta dolar akibat dua serangan

Pada Juli 2021, ChainSwap mengalami dua serangan dalam waktu singkat, dengan kerugian pertama sekitar 800.000 dolar AS dan kerugian kedua sekitar 8.000.000 dolar AS. Serangan kedua mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain.

Analisis penyebab: Protokol gagal untuk secara ketat memverifikasi keabsahan tanda tangan, penyerang dapat menggunakan tanda tangan yang dihasilkan sendiri untuk mengotorisasi transaksi.

Solusi: Beberapa proyek yang terpengaruh telah melakukan snapshot dan menerbitkan token baru untuk mengkompensasi pemegang dan penyedia likuiditas.

2. Poly Network: Pernah kehilangan 6,1 miliar USD, berhasil dipulihkan sepenuhnya

Pada bulan Agustus 2021, Poly Network kehilangan sekitar 610 juta dolar aset di Ethereum, Binance Smart Chain, dan Polygon.

Metode serangan: Memanfaatkan celah manajemen izin kontrak, penyerang memanipulasi alamat validator di rantai target, sehingga mengontrol pemindahan aset.

Hasil: Penyerang akhirnya mengembalikan semua dana, pihak proyek menyebutnya sebagai "peretas topi putih", dan mengundangnya untuk menjabat sebagai kepala konsultan keamanan.

3. Multichain: Kerugian sebesar 6 juta dolar, sebagian telah dibayar.

Pada bulan Januari 2022, Multichain menemukan celah keamanan yang signifikan yang mempengaruhi enam jenis token, sekitar 6,04 juta dolar aset dicuri.

Penyebab kerentanan: Kontrak mengalami masalah saat memeriksa keabsahan token yang dimasukkan oleh pengguna, tidak mempertimbangkan bahwa tidak semua token mengimplementasikan fungsi permit.

Proses: Sekitar 50% dana yang dicuri telah berhasil dipulihkan, tim mengusulkan untuk mengembalikan dana kepada pengguna yang telah mencabut otorisasi, tetapi tidak akan membayar untuk kerugian selanjutnya.

4. QBridge: Kerugian sebesar 80 juta USD, hanya mengganti rugi 2%

Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar.

Prinsip serangan: QBridge tidak melakukan verifikasi ulang pada alamat nol, penyerang memanfaatkan celah ini untuk mencetak sejumlah besar token xETH di BSC.

Kondisi saat ini: Tingkat penggunaan Qubit sangat rendah, 98% dana yang dicuri belum dibayarkan.

5. Meter.io: Kerugian 4,4 juta dolar, berjanji akan membayar dengan pendapatan masa depan

Pada bulan Februari 2022, Meter Passport cross-chain bridges diserang, mengakibatkan kerugian sebesar 4,4 juta dolar.

Alasan: Dalam kode ekstensi Meter terdapat "asumsi kepercayaan yang salah", yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH.

Rencana kompensasi: menerbitkan token baru PASS untuk membayar pengguna, berjanji untuk membeli kembali dengan pendapatan di masa depan, tetapi belum dilaksanakan.

6. Ronin: Kerugian 6,2 juta USD, sudah dibayar penuh

Pada Maret 2022, rantai Ronin dari Axie Infinity diserang, kehilangan sekitar 6,2 juta dolar AS.

Metode serangan: memperoleh informasi karyawan Sky Mavis melalui rekayasa sosial, kemudian mengendalikan beberapa node verifikasi.

Solusi: Pengembang Sky Mavis mengumpulkan dana sebesar 150 juta USD untuk kompensasi, namun penurunan harga ETH menyebabkan nilai kompensasi yang sebenarnya menyusut.

7. Wormhole: Kerugian sebesar 3,26 juta dolar AS, telah dibayar.

Pada Februari 2022, Wormhole diserang, kehilangan sekitar 120.000 ETH, senilai 326 juta dolar.

Kerentanan: Kesalahan verifikasi tanda tangan kontrak inti di Solana, penyerang dapat memalsukan pesan "penjaga" untuk mencetak whETH.

Penanganan: Jump Crypto menyuntikkan 120.000 ETH ke Wormhole untuk menutupi kerugian.

8. EvoDeFi: Diperkirakan kehilangan di atas sepuluh juta dolar, belum ditangani

Pada bulan Juni 2022, USDT mengalami penyimpangan serius di DEX Oasis ValleySwap, diperkirakan kerugian mencapai puluhan juta dolar.

Alasan: kekurangan likuiditas pada sumber rantai jembatan lintas rantai EVODeFi, mungkin ada backdoor yang mencuri aset pengguna.

Kondisi saat ini: Pihak terkait belum memberikan solusi, diduga melarikan diri.

9. Horizon: Kerugian hampir 100 juta dolar, rencana kompensasi sedang disusun.

Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, menyebabkan kerugian sekitar 100 juta dolar AS.

Alasan: Diduga kebocoran kunci pribadi.

Kemajuan: Sedang merumuskan kembali rencana kompensasi, belum mencapai kesepakatan.

10. Nomad: Kerugian sebesar 190 juta dolar, dalam proses penanganan

Pada bulan Agustus 2022, likuiditas Nomad dengan cepat habis, menyebabkan kerugian sebesar 190 juta dolar.

Kerentanan: Akar tepercaya dalam pembaruan kontrak diinisialisasi secara salah, yang menyebabkan siapa pun dapat menarik dana.

Situasi: Beberapa hacker topi putih menyatakan bersedia mengembalikan dana, namun rencana kompensasi yang spesifik belum ditentukan.

Kesimpulan

Insiden keamanan jembatan lintas rantai sering terjadi, bahkan proyek besar pun sulit untuk terhindar. Namun, proyek dengan kekuatan latar belakang yang kuat memiliki keunggulan dalam penanganan krisis, sering kali dapat memulihkan dana atau melakukan kompensasi. Pengguna harus memprioritaskan proyek yang memiliki kekuatan teknis yang kuat dan kemampuan penanganan risiko saat memilih jembatan lintas rantai, untuk mengurangi risiko kerugian yang potensial.