Pelajaran Dari Serangan Terhadap Tinyman, DEX Terbesar Di Algorand

Waktu Baca: 5 menit

Peretasan Crypto berlanjut pada tahun 2022 ketika peretas menyerang kerentanan dalam jaringan yang berbeda, menambah jutaan aset yang dicuri. Komunitas Algorand memulai tahun dengan catatan masam setelah serangan terhadap pertukaran terdesentralisasi mereka yang menyebabkan hilangnya aset senilai sekitar $3 juta.

Menurut laporan, pada Januari 1, 2022, pengguna yang tidak sah diserang kecil, platform keuangan terdesentralisasi yang dibangun di atas Algorand. Acara ini dilakukan dalam empat serangan terpisah, yang memungkinkan para peretas mencuri $ 3 juta dari kumpulan dalam protokol.

Sebuah laporan oleh Tinyman menunjukkan bahwa empat akun telah disusupi, yang mempengaruhi sekitar 250 pengguna dengan kepemilikan di goBTC dan goETH. Empat puluh tiga kumpulan terpengaruh oleh 360 aktivitas jahat yang dilakukan oleh 13 alamat unik.

Khususnya, penyerang mengaktifkan alamat dompet mereka yang memungkinkan mereka untuk menyetor dana awal untuk serangan tersebut. Selain itu, orang-orang ini dilaporkan melanggar kerentanan yang sebelumnya tidak diketahui pada kontrak pintar Tinyman. Ini memungkinkan mereka untuk mendapatkan dua token yang sama, yang kemudian mereka lanjutkan untuk menukar beberapa aset dan token kumpulan yang dicetak.

Serangan tersebut dilaporkan menguntungkan pengguna yang tidak sah karena pergiBTC aset lebih berharga daripada ALGO token yang mereka tukarkan untuk menerima lebih banyak dana. Selain itu, penyerang juga menukar kumpulan dengan stablecoin sebelum menarik aset ke dompet lain dan pertukaran terpusat.

Sebagai protokol tanpa kepercayaan dan tanpa izin, Tinyman terutama menggunakan kontrak yang tidak dapat diubah, sehingga pertukaran tidak mungkin memperbaiki kerentanan dan menghentikan serangan dengan cepat. Namun, sebagai hasilnya, mereka hanya dapat menyarankan penggunanya untuk tidak menggunakan platform saat mereka berupaya memperbaiki masalah.

Saat tim Tinyman terus menyelidiki insiden tersebut, beberapa area utama perlu ditangani. Ini termasuk:

Pentingnya Audit

Mengingat meningkatnya jumlah kasus penipuan dan serangan terkait kripto di dalam DeFi dan pasar mata uang kripto secara keseluruhan, kebutuhan akan sistem pemeriksaan dan akuntabilitas tidak dapat cukup ditekankan. 

Tahun lalu di bulan November, Eliptik, sebuah perusahaan risiko manajemen kripto global, melakukan penelitian yang menunjukkan bahwa over $ 10.5 miliar senilai aset hilang dari DeFi pada tahun 2021 karena peretasan dan serangan lain pada jaringan dan protokol. 

Selanjutnya, peretasan terkait DeFi menyumbang 76% dari semua peretasan besar pada tahun 2021. Menurut laporan itu, sifat aplikasi Terdesentralisasi (DApps) yang tidak dapat dipercaya dalam DeFi adalah berkah dan kutukan. Menjadi tidak dapat dipercaya menghilangkan kontrol pihak ketiga atas dana pengguna. Namun, pengguna dipaksa untuk percaya bahwa pembuat protokol yang bersangkutan tidak membuat kesalahan dalam pengkodean atau desain yang dapat memungkinkan serangan pada sistem.

Audit memungkinkan entitas tepercaya untuk memeriksa kerentanan dengan kode dan desain struktural suatu proyek, sehingga meningkatkan keamanan secara keseluruhan. Audit harus dilakukan terus-menerus untuk mengikuti teknik canggih dan baru yang digunakan peretas untuk menyerang sistem. Sementara Tinyman dilaporkan telah menjalani audit, pemeriksaan audit baru-baru ini dapat membantu memperbaiki bug atau kerentanan dan mungkin mencegah kerugian.

Harus baca: Empat Besar Bekerja Menuju Audit Blockchain

Idealnya, audit kontrak cerdas harus dilakukan sebelum kontrak disebarkan. Audit ini berusaha untuk memeriksa kesalahan umum seperti masalah tumpukan, kesalahan masuk kembali, dan kemungkinan komplikasi lainnya. Proses audit juga memeriksa kesalahan dan kelemahan keamanan platform host yang diketahui sambil memungkinkan pengembang untuk menguji kontrak pintar.

Selain itu, audit membantu proyek terus meningkatkan kontrak pintar mereka, memastikan mereka selalu up to date. Misalnya, setelah serangan itu, Tinyman terpaksa memperbarui kontrak pintar mereka untuk mencegah serangan semacam itu di masa depan.

Asuransi DeFi

Khususnya, sebelum membuat pengaturan apa pun dalam pasar DeFi, pengguna perlu memahami sepenuhnya risiko yang terkait dengan pasar. Terlepas dari risiko kontrak pintar, pengguna mungkin juga menghadapi risiko oracle dan risiko tata kelola. 

Yang mengatakan, melakukan penelitian yang tepat di pasar dan proyek di dalamnya memungkinkan pengguna untuk membuat keputusan yang tepat. Salah satu keputusan tersebut adalah mendapatkan perlindungan untuk serangan tak terduga melalui DeFi Insurance.

Asuransi DeFi adalah proses mengasuransikan diri sendiri atau membeli pertanggungan terhadap kerugian yang mungkin diderita oleh peristiwa di industri DeFi. Meningkatnya jumlah kerugian dalam DeFi telah menciptakan permintaan untuk produk asuransi DeFi karena proyek-proyek baru terus meningkat dari hari ke hari. 

Biasanya, banyak bursa yang terkena dampak akhirnya mengganti korban mereka setelah serangan itu. Namun, beberapa proyek yang diretas tidak dapat mengganti uang penggunanya.

Catatan, tim Tinyman telah datang untuk meyakinkan pengguna yang terkena dampak bahwa mereka akan mendapatkan penggantian atas kerugian mereka.

Kekuatan di Komunitas

Khususnya, setelah serangan pertama dipublikasikan, lebih banyak peretas mengambil kesempatan untuk menyalin peretasan tersebut. Mereka menggunakan kerentanan yang sama untuk melakukan serangan yang lebih kecil (serangan kedua hingga keempat) di bursa. Namun, Tinyman berhasil menyelamatkan sebagian besar aset mereka dengan bantuan komunitas.

Dalam serangan ini dan serangan serupa, komunitas telah membantu menyebarkan berita lebih cepat, memungkinkan pengguna mengambil tindakan keamanan yang diperlukan untuk membantu menjaga aset mereka tetap aman. Selain itu, komunitas, sampai batas tertentu, telah membantu membangun komunikasi dan kolaborasi yang lebih baik antara pengembang dan pengguna untuk pertumbuhan seluruh ekosistem.

Dalam beberapa hari terakhir, komunitas berbasis crypto telah membantu meningkatkan revolusi yang mengarah pada pertumbuhan proyek dalam industri.

Membungkus

Sementara blockchain telah membuat terobosan luar biasa, terutama di bidang keuangan, teknologinya masih jauh dari sempurna. Namun, pemilik proyek, pengembang, dan pengguna dapat mengambil tindakan yang tepat untuk memastikan lebih banyak keamanan dalam aplikasi berbasis blockchain.

Dengan mengambil tindakan akuntabilitas melalui audit dan tindakan relevan lainnya, proyek dapat menghilangkan bug atau kerentanan apa pun yang dapat digunakan untuk melawan aplikasi. Juga, mengambil tindakan pencegahan lain seperti asuransi DeFi dan menjaga komunitas yang ketat adalah penting dalam mengurangi kejadian semacam itu. 

Hubungi QuillAudits

QuillAudits adalah platform audit kontrak pintar yang aman yang dirancang oleh QuillHash
Teknologi.
Ini adalah platform audit yang menganalisis dan memverifikasi kontrak cerdas secara ketat untuk memeriksa kerentanan keamanan melalui tinjauan manual yang efektif dengan alat analisis statis dan dinamis, penganalisis gas, serta simulator. Selain itu, proses audit juga mencakup pengujian unit ekstensif serta analisis struktural.
Kami melakukan audit kontrak pintar dan tes penetrasi untuk menemukan potensi
kerentanan keamanan yang dapat membahayakan integritas platform.

Jika Anda memerlukan bantuan dalam audit kontrak pintar, jangan ragu untuk menghubungi pakar kami di sini!

Untuk mengetahui pekerjaan kami, Bergabunglah dengan Komunitas Kami:-

Twitter | LinkedIn | Facebook | Telegram

Pos Pelajaran Dari Serangan Terhadap Tinyman, DEX Terbesar Di Algorand muncul pertama pada Blog.quillhash.

Sumber: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand