Bagaimana Jembatan Blockchain Menjadi Target Utama Peretas

Industri kripto telah berkembang menjadi ekosistem yang menghubungkan beberapa blockchain Layer-1(L1) dan solusi penskalaan Layer-2(L2) dengan kemampuan dan trade-off yang unik. 

Jaringan seperti Fantom, Terra, atau Longsor telah menjadi kaya akan aktivitas DeFi, sementara play-to-earn dapps seperti Axie Infinity dan DeFi Kingdoms menopang seluruh ekosistem seperti Ronin dan Harmony. Blockchain ini telah meningkat sebagai alternatif serius untuk biaya gas Ethereum dan waktu transaksi yang relatif lambat. Kebutuhan akan cara mudah untuk memindahkan aset antar protokol pada blockchain yang berbeda menjadi lebih penting dari sebelumnya. 

Di sinilah jembatan blockchain masuk.

Sebagai hasil dari skenario multichain, Total Value Locked (TVL) di semua dapp DeFi meroket. Pada akhir Maret 2022, TVL industri diperkirakan mencapai $215 miliar, 156% lebih tinggi dari Maret 2021. Jumlah nilai yang dikunci dan dijembatani dalam dapps DeFi ini menarik perhatian peretas jahat, dan tren terbaru menunjukkan bahwa penyerang mungkin memiliki menemukan tautan lemah di jembatan blockchain. 

Menurut database Rekt, $1.2 miliar aset kripto dicuri pada Q1 2022, mewakili 35.8% dari dana curian sepanjang masa menurut sumber yang sama. Menariknya, setidaknya 80% dari aset yang hilang pada tahun 2022 telah dicuri dari jembatan. 

Salah satu serangan paling parah terjadi dua minggu lalu ketika Jembatan Ronin diretas sebesar $540 juta. Sebelum itu, Lubang Cacing Solana dan jembatan Qubit Finance BNB Chain dieksploitasi lebih dari $400 juta pada tahun 2022. Peretasan terbesar dalam sejarah kripto terjadi pada Agustus 2021 ketika Jembatan PolyNetwork dieksploitasi untuk $610 juta, meskipun dana yang dicuri itu kemudian dikembalikan. 

Jembatan adalah salah satu alat paling berharga di industri ini, tetapi sifatnya yang dapat dioperasikan menghadirkan tantangan penting bagi proyek yang membangunnya. 

Memahami Jembatan Blockchain

Analog dengan jembatan Manhattan, jembatan blockchain adalah platform yang menghubungkan dua jaringan berbeda yang memungkinkan transfer aset dan informasi lintas rantai dari satu blockchain ke blockchain lainnya. Dengan cara ini, cryptocurrency dan NFT tidak disimpan dalam rantai asli mereka tetapi dapat "dijembatani" di berbagai blockchain, mengalikan opsi untuk memanfaatkan aset ini. 

Berkat jembatan, Bitcoin digunakan dalam jaringan berbasis kontrak cerdas untuk tujuan DeFi, atau NFL Sepanjang Hari NFL dapat dijembatani dari Flow ke Ethereum untuk difraksinasi atau digunakan sebagai jaminan. 

Ada pendekatan yang berbeda dalam hal mentransfer aset. Seperti namanya, jembatan Lock-and-Mint bekerja dengan mengunci aset asli di dalam kontrak pintar di sisi pengirim sementara jaringan penerima mencetak replika token asli di sisi lain. Jika Eter dijembatani dari Ethereum ke Solana, Eter di Solana hanyalah representasi "terbungkus" dari kripto, bukan token yang sebenarnya.  

Sementara pendekatan lock-and-mint adalah metode menjembatani yang paling populer, ada cara lain untuk menyelesaikan transfer aset seperti 'burn-and-mint' atau pertukaran atom yang dijalankan sendiri oleh kontrak cerdas untuk menukar aset antara dua jaringan. sambungkan (sebelumnya xPollinate) dan cJembatan adalah jembatan yang mengandalkan pertukaran atom. 

Dari sudut pandang keamanan, jembatan dapat diklasifikasikan menjadi dua kelompok utama: tepercaya dan tidak dapat dipercaya. Jembatan tepercaya adalah platform yang mengandalkan pihak ketiga untuk memvalidasi transaksi tetapi, yang lebih penting, untuk bertindak sebagai penjaga aset yang dijembatani. Contoh jembatan tepercaya dapat ditemukan di hampir semua jembatan khusus blockchain seperti Jembatan Binance, Jembatan POS Poligon, Jembatan WBTC, Jembatan Longsor, Jembatan Harmoni, Jembatan Terra Shuttle, dan dapps tertentu seperti Multichain (sebelumnya Anyswap) atau Tron's Just Cryptos. 

Sebaliknya, platform yang hanya mengandalkan kontrak pintar dan algoritme untuk menyimpan aset adalah jembatan tanpa kepercayaan. Faktor keamanan dalam jembatan tanpa kepercayaan terikat pada jaringan yang mendasari di mana aset sedang dijembatani, yaitu, di mana aset dikunci. Jembatan tanpa kepercayaan dapat ditemukan di DEKAT Jembatan Pelangi, Lubang Cacing Solana, Jembatan Salju Polkadot, Cosmos IBC, dan platform seperti Hop, Connext, dan Celer. 

Sepintas, mungkin terlihat seperti jembatan tanpa kepercayaan menawarkan opsi yang lebih aman untuk mentransfer aset antar blockchain. Namun, baik jembatan tepercaya dan tanpa kepercayaan menghadapi tantangan yang berbeda. 

Batasan Jembatan Tepercaya dan Tanpa Tepercaya

Jembatan Ronin beroperasi sebagai platform tepercaya terpusat. Jembatan ini menggunakan dompet multisig untuk penyimpanan aset yang dijembatani. Singkatnya, dompet multisig adalah alamat yang membutuhkan dua atau lebih tanda tangan kriptografi untuk menyetujui transaksi. Dalam kasus Ronin, sidechain memiliki sembilan validator yang membutuhkan lima tanda tangan berbeda untuk menyetujui penyetoran dan penarikan.  

Platform lain menggunakan pendekatan yang sama tetapi mendiversifikasi risiko dengan lebih baik. Misalnya, Polygon bergantung pada delapan validator dan membutuhkan lima tanda tangan. Kelima tanda tangan tersebut dikendalikan oleh pihak yang berbeda. Dalam kasus Ronin, empat tanda tangan dipegang oleh tim Sky Mavis saja, menciptakan satu titik kegagalan. Setelah peretas berhasil mengendalikan empat tanda tangan Sky Mavis sekaligus, hanya satu tanda tangan lagi yang diperlukan untuk menyetujui penarikan aset. 

Pada tanggal 23 Maret, penyerang mendapatkan kendali atas tanda tangan Axie DAO, bagian terakhir yang diperlukan untuk menyelesaikan serangan. 173,600 ETH dan 25.5 juta USDC dikuras dari kontrak kustodian Ronin dalam dua transaksi berbeda dalam serangan kripto terbesar kedua yang pernah ada. Perlu juga dicatat bahwa tim Sky Mavis mengetahui tentang peretasan hampir seminggu kemudian, menunjukkan bahwa mekanisme pemantauan Ronin paling tidak kurang, mengungkapkan kelemahan lain dalam platform tepercaya ini. 

Sementara sentralisasi menghadirkan kelemahan mendasar, jembatan tanpa kepercayaan rentan terhadap eksploitasi karena bug dan kerentanan dalam perangkat lunak dan pengkodean mereka. 

Solana Wormhole, sebuah platform yang memungkinkan transaksi jembatan silang antara Solana dan Ethereum, mengalami eksploitasi pada Februari 2022, di mana $ 325 juta telah dicuri karena bug dalam kontrak kustodian Solana. Sebuah bug dalam kontrak Wormhole memungkinkan peretas untuk merancang validator lintas rantai. Penyerang mengirim 0.1 ETH dari Ethereum ke Solana untuk memicu serangkaian "pesan transfer" yang menipu program agar menyetujui setoran 120,000 ETH.

Peretasan Wormhole terjadi setelah Jaringan Poly dieksploitasi sebesar $610 juta pada Agustus 2021 karena cacat dalam taksonomi dan struktur kontrak. Transaksi lintas rantai di dapp ini disetujui oleh sekelompok node terpusat yang disebut "penjaga" dan divalidasi di jaringan penerima dengan kontrak gateway. Dalam serangan ini, peretas dapat memperoleh hak istimewa sebagai penjaga dan dengan demikian menipu gateway dengan mengatur parameternya sendiri. Penyerang mengulangi proses di Ethereum, Binance, Neo, dan blockchain lainnya untuk mengekstrak lebih banyak aset.

Semua Jembatan Menuju Ethereum

Ethereum tetap menjadi ekosistem DeFi yang paling dominan di industri, terhitung hampir 60% dari TVL industri. Pada saat yang sama, munculnya jaringan yang berbeda sebagai alternatif untuk dapps DeFi Ethereum memicu aktivitas lintas rantai jembatan blockchain. 

Jembatan terbesar di industri ini adalah jembatan WBTC, yang dikelola oleh BitGo, Kyber, dan Republic Protocol, tim di belakang RenVM. Karena token Bitcoin secara teknis tidak kompatibel dengan blockchain berbasis kontrak pintar, jembatan WBTC “membungkus” Bitcoin asli, menguncinya dalam kontrak penjaga jembatan dan mencetak versi ERC-20 di Ethereum. Jembatan ini menjadi sangat populer di Musim Panas DeFi dan sekarang menampung Bitcoin senilai sekitar $12.5 miliar. WBTC memungkinkan BTC untuk digunakan sebagai jaminan dalam dapps seperti Aave, Compound, dan Maker, atau untuk menghasilkan pertanian atau mendapatkan bunga dalam beberapa protokol DeFi. 

Multichain, sebelumnya dikenal sebagai Anyswap, adalah dapp yang menawarkan transaksi lintas rantai ke lebih dari 40 blockchain dengan jembatan bawaan. Multichain memegang $6.5 miliar di semua jaringan yang terhubung. Namun, jembatan Fantom ke Ethereum sejauh ini merupakan kumpulan terbesar dengan $ 3.5 miliar terkunci. Selama paruh kedua tahun 2021, jaringan Proof-of-Stake memantapkan dirinya sebagai tujuan DeFi yang populer dengan hasil pertanian yang menarik yang melibatkan FTM, berbagai stablecoin, atau WETH seperti yang ditemukan di SpookySwap. 

Tidak seperti Fantom, sebagian besar blockchain L1 menggunakan jembatan langsung independen untuk menghubungkan jaringan. Jembatan Avalanche sebagian besar dikelola oleh Avalanche Foundation dan merupakan jembatan L1<>L1 terbesar. Avalanche membanggakan salah satu lanskap DeFi paling kuat dengan dapps seperti Trader Joe, Aave, Curve, dan Platypus Finance. 

Jembatan Binance juga menonjol dengan aset terkunci senilai $4.5 miliar, diikuti oleh Solana Wormhole dengan $3.8 miliar. Shuttle Bridge Terra hanya mengamankan $1.4 miliar meskipun merupakan blockchain terbesar kedua dalam hal TVL.

Demikian pula, solusi penskalaan seperti Polygon, Arbitrum, dan Optimism juga merupakan salah satu jembatan paling signifikan dalam hal aset terkunci. Polygon POS Bridge, titik masuk utama antara Ethereum dan sidechain-nya, adalah jembatan terbesar ketiga dengan hampir $6 miliar. Sementara itu, likuiditas di jembatan platform L2 populer seperti Arbitrum dan Optimisme juga meningkat. 

Jembatan lain yang layak disebut adalah jembatan Near Rainbow, yang bertujuan untuk memecahkan masalah yang terkenal trilemma interoperabilitas. Platform yang menghubungkan Near dan Aurora dengan Ethereum ini dapat menghadirkan peluang berharga untuk mencapai keamanan di jembatan tanpa kepercayaan. 

Meningkatkan Keamanan Lintas Rantai

Baik jembatan tepercaya dan tanpa kepercayaan, dua pendekatan untuk menjaga aset yang dijembatani, rentan terhadap kelemahan fundamental dan teknis. Namun, ada cara untuk mencegah dan mengurangi dampak yang disebabkan oleh penyerang jahat yang menargetkan jembatan blockchain. 

Dalam kasus jembatan tepercaya, jelas bahwa peningkatan rasio penandatangan diperlukan, sementara juga menjaga multisig didistribusikan ke dompet yang berbeda. Dan meskipun jembatan tanpa kepercayaan menghilangkan risiko yang terkait dengan sentralisasi, bug dan kendala teknis lainnya menghadirkan situasi berisiko, seperti yang ditunjukkan oleh Solana Wormhole atau eksploitasi Qubit Finance. Oleh karena itu, perlu untuk menerapkan tindakan off-chain untuk melindungi platform lintas-rantai sebanyak mungkin.

Kerjasama antar protokol sangat dibutuhkan. Ruang Web3 dicirikan oleh komunitasnya yang terikat, jadi memiliki pemikiran paling cerdas di industri yang bekerja sama untuk membuat ruang tersebut menjadi tempat yang lebih aman akan menjadi skenario yang sempurna. Animoca Brands, Binance, dan merek Web3 lainnya mengumpulkan $150 juta untuk membantu Sky Mavis mengurangi dampak finansial dari peretasan jembatan Ronin. Bekerja bersama untuk masa depan multirantai dapat mendorong interoperabilitas ke tingkat berikutnya. 

Demikian juga, koordinasi dengan platform analitik rantai dan pertukaran terpusat (CEX) akan membantu melacak dan menandai token yang dicuri. Kondisi ini mungkin membuat para penjahat tidak berdaya dalam jangka menengah, karena pintu gerbang untuk menguangkan crypto untuk fiat harus dikontrol oleh prosedur KYC di CEX yang sudah ada. Bulan lalu, pasangan berusia 20 tahun sanksi hukum setelah menipu orang di ruang NFT. Adalah adil untuk meminta perlakuan yang sama untuk peretas yang teridentifikasi.

Audit dan karunia bug adalah cara lain untuk meningkatkan kesehatan platform Web3 apa pun, termasuk jembatan. Organisasi bersertifikat seperti Certik, Chainsafe, Blocksec, dan beberapa lainnya membantu membuat interaksi Web3 lebih aman. Semua jembatan aktif harus diaudit oleh setidaknya satu organisasi bersertifikat. 

Sementara itu, program bug bounty menciptakan sinergi antara proyek dan komunitasnya. Peretas kulit putih memainkan peran penting dalam mengidentifikasi kerentanan sebelum penyerang jahat melakukannya. Misalnya, Sky Mavis memiliki baru-baru ini meluncurkan program hadiah bug $ 1 juta untuk memperkuat ekosistemnya. 

Kesimpulan

Lonjakan solusi L1 dan L2 sebagai ekosistem blockchain holistik yang menantang dapps Ethereum telah menciptakan kebutuhan akan platform lintas rantai untuk memindahkan aset antar jaringan. Inilah inti dari interoperabilitas, salah satu pilar Web3. 

Meskipun demikian, skenario interoperable saat ini bergantung pada protokol lintas rantai daripada pendekatan multirantai, sebuah skenario tentang yang Vitalik melonggarkan kata-kata peringatan di awal tahun. Kebutuhan interoperabilitas dalam ruang lebih dari jelas. Meskipun demikian, langkah-langkah keamanan yang lebih kuat dalam jenis platform ini diperlukan. 

Sayangnya, tantangan tersebut tidak akan dapat diatasi dengan mudah. Baik platform tepercaya dan tanpa kepercayaan menghadirkan kekurangan dalam desain mereka. Cacat lintas rantai yang melekat ini telah menjadi nyata. Lebih dari 80% dari $1.2 miliar yang hilang dalam peretasan pada tahun 2022 telah melalui jembatan yang dieksploitasi. 

Selain itu, karena nilai dalam industri terus meningkat, peretas juga semakin canggih. Serangan siber tradisional seperti rekayasa sosial dan serangan phishing telah beradaptasi dengan narasi Web3. 

Pendekatan multichain di mana semua versi token asli untuk setiap blockchain masih jauh. Oleh karena itu, platform lintas rantai harus belajar dari peristiwa sebelumnya dan memperkuat prosesnya untuk mengurangi jumlah serangan yang berhasil sebanyak mungkin.

Baca postingan aslinya di Si Penentang

• Coinsmart. Pertukaran Bitcoin dan Crypto Terbaik Eropa.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. AKSES GRATIS.
• CryptoHawk. Radar Altcoin. Uji Coba Gratis.
• Sumber: https://thedefiant.io/hackers-target-blockchain-bridges/