Waktu Baca: 6 menit
Aset crypto yang diretas pada tahun 2022 kemungkinan akan melampaui $2021 miliar dana curian tahun 3.2, kata perusahaan keamanan crypto Chainalysis.
Sumber Gambar: Chainalysis.
Pelanggaran keamanan dan eksploitasi kode adalah pusat perhatian penyerang yang mencoba mencuri mata uang kripto. Belum lagi protokol DeFi dibuat menjadi target penyerangan yang tak tertahankan.
Terutama di tahun 2022, jembatan lintas rantai menyiapkan panggung untuk tren peretasan terbaru, terhitung 64% dari pencurian dana tahun ini.
Mari kita periksa apa yang salah di balik peretasan crypto terbesar tahun 2022 dan rasakan cara mendekati keamanan web3.
Mengungkap Peretasan Terbesar 2022
Jembatan Axie Infinity Ronin
Dana yang Dicuri: $62,40,00,000
Tanggal: 23rdMar'22
Jaringan Ronin bekerja pada model Proof-of-Authority dengan sembilan node validator. Dari sembilan, lima node perlu menyetujui untuk melewati transaksi di jembatan. Empat node validator adalah anggota tim internal Sky Mavis, dan hanya membutuhkan satu tanda tangan lagi untuk memvalidasi transaksi.
Dalam eksploitasi Ronin, peretas berhasil mendapatkan akses ke node validator kelima dengan memanfaatkan node RPC. Node RPC bebas gas didirikan setahun sebelumnya untuk mengurangi biaya bagi pengguna selama lalu lintas jaringan yang padat.
Dengan demikian, peretas melakukan penarikan dalam dua transaksi dengan menggabungkan node. 173,600ETH terkuras di transaksi pertama dan 25.5 juta USDC di transaksi kedua dari kontrak jembatan Ronin. Pencurian dana terbesar dalam sejarah kripto diidentifikasi hanya enam hari kemudian peretasan terjadi.
Jembatan BNB
Dana yang Dicuri: $58,60,00,000
Tanggal: 6thOct'22
Jembatan BNB menghubungkan rantai Binance Beacon lama dan rantai Binance Smart. Peretas mengeksploitasi kerentanan dan mampu mencetak dua batch masing-masing 1 juta BNB - total 2 juta BNB senilai sekitar $586 juta pada saat peretasan.
Berikut plot serangannya.
Penyerang menunjukkan bukti palsu untuk deposit di rantai Binance Beacon. Jembatan Binance menggunakan verifikasi IAVL yang rentan untuk memverifikasi bukti bahwa peretas berhasil memalsukan dan melanjutkan penarikan.
Peretas kemudian mengarahkan dana ke dompetnya dengan menyimpannya di protokol Venus, platform pinjaman BSC, sebagai jaminan alih-alih membuang BNB secara langsung.
Lubang cacing
Dana yang Dicuri: $32,60,00,000
Tanggal: 2ndFeb'22
Wormhole, jembatan antara Ethereum dan Solana, mengalami kerugian 120,000 dibungkus Ether yang berjumlah $321 juta pada saat itu karena eksploitasi kode.
Peretasan terjadi di Solana dengan memanipulasi jembatan dengan informasi yang menunjukkan 120k ETH dikirimkan pada rantai Ethereum. Akibatnya, peretas dapat mencetak setara dengan 120rb dalam kekayaan dari Solana.
Penyerang menggunakan 'SignatureSet' dari transaksi sebelumnya untuk menghalangi mekanisme verifikasi jembatan Wormhole dan memanfaatkan fungsi 'Verify-signatures' dalam kontrak jembatan utama. Perbedaan dalam 'solana_program::sysvar::instruksi' dan 'solana_program' dimanfaatkan oleh pengguna untuk memverifikasi alamat yang hanya berisi 0.1 ETH.
Mengikuti ini dan melalui eksploitasi kode berikutnya, peretas secara curang mencetak 120k whETH di Solana.
Jembatan Pengembara
Dana yang Dicuri: $19,00,00,000
Tanggal: 1 Agustus'22
Jembatan pengembara mengalami pukulan fatal dengan menjadi target menarik bagi siapa saja untuk bergabung dengan regu peretas.
Selama peningkatan rutin jembatan, kontrak Replika diinisialisasi dengan cacat pengkodean yang berdampak parah pada aset. Dalam kontrak, alamat 0x00 ditetapkan sebagai root tepercaya, yang berarti semua pesan valid secara default.
Transaksi eksploit oleh peretas gagal dalam upaya pertama. Namun, alamat Tx disalin oleh peretas berikutnya yang memanggil fungsi process() secara langsung karena validitasnya ditandai sebagai 'terbukti'.
Pemutakhiran membaca nilai 'pesan' dari 0 (tidak valid) sebagai 0x00 dan karenanya lulus validasi sebagai 'terbukti.' Ini berarti setiap fungsi process() dilewatkan agar valid.
Jadi para peretas dapat mencuci dana dengan membuat salinan/tempel dari fungsi process() yang sama dan mengganti alamat pengeksploitasi sebelumnya dengan milik mereka.
Kekacauan ini menyebabkan pengurasan likuiditas sebesar $190 juta dari protokol bridge.
Pohon Kacang
Dana yang Dicuri: $18,10,00,000
Tanggal: 17 April'22
Itu pada dasarnya adalah serangan tata kelola yang membuat peretas mencambuk $181 juta.
Peretas dapat mengambil pinjaman kilat yang cukup untuk memilih dan mendorong proposal jahat.
Alur Serangan adalah sebagai berikut.
Para penyerang memperoleh hak suara dengan mengambil flash loan dan segera bertindak untuk melaksanakan proposal tata kelola darurat yang berbahaya. Tidak adanya penundaan eksekusi proposal mendukung serangan itu.
Peretas membuat dua proposal. Yang pertama adalah mentransfer dana dalam kontrak kepada mereka sendiri, dan proposal berikutnya adalah mentransfer $250k senilai $BEAN ke alamat donasi Ukraina.
Dana yang dicuri kemudian digunakan untuk membayar kembali pinjaman dan mengarahkan sisanya ke Uang tunai tornado.
bisu musim dingin
Dana yang Dicuri: $16,23,00,000
Tanggal: 20 September'22
Kompromi hot wallet mengakibatkan kerugian $160 juta untuk Wintermute.
Alat senonoh yang digunakan untuk membuat alamat batil memiliki kerentanan. Dompet panas Wintermute dan kontrak brankas DeFi keduanya memiliki alamat batil. Kelemahan alat senonoh menyebabkan kompromi kunci pribadi dompet panas, diikuti oleh pencurian dana.
Pasar Mangga
Dana yang Dicuri: $11,50,00,000
Tanggal: 11thOct'22
Pasar mangga jatuh karena serangan manipulasi harga kehilangan sembilan angka saat bepergian.
Bagaimana hal itu terjadi?
Penyerang mendepositkan lebih dari $5 juta di Mango Markets dan melakukan countertrade dari akun lain terhadap posisi mereka. Hal ini mengakibatkan lonjakan harga token MNGO secara besar-besaran dari $0.03 menjadi $0.91.
Penyerang kemudian menggunakan posisinya sebagai jaminan dan menguras dana dari kumpulan likuiditas. Singkatnya, memanipulasi dan memompa harga token menyebabkan runtuhnya protokol.
Jembatan Harmoni
Dana yang Dicuri: $10,00,00,000
Tanggal: 23rdJuni'22
Harmony bridge jatuh karena kompromi kunci pribadi, diikuti dengan kerugian $100 juta. Mari ikuti alur serangannya.
Harmony bridge menggunakan 2 dari 5 alamat multisig untuk melewati transaksi. Penyerang berhasil mendapatkan kendali atas alamat ini dengan mengkompromikan kunci pribadi. Setelah menguasai dua alamat, peretas dapat melakukan transaksi yang menghabiskan $100 juta.
Fei Rari
Dana yang Dicuri: $8,00,00,000
Tanggal: 1 Mei'22
Rari menggunakan kode garpu majemuk yang tidak mengikuti pola interaksi efek cek. Gagal memeriksa pola menyebabkan serangan reentrancy.
Dalam pola masuk kembali ini, penyerang bermain-main dengan penggunaan kode 'panggilan.nilai' dan 'keluar Pasar' fungsi. Penyerang mengambil flash loan untuk meminjam ETH, masuk lagi 'panggilan.nilai' dan menelepon 'keluar Pasar' untuk menarik dana yang ditempatkan sebagai agunan.
Dengan demikian, peretas mendapatkan dana yang diambil melalui flash loan dan mempertahankan agunan yang ditempatkan untuk dipinjam.
Keuangan Qubit
Dana yang Dicuri: $8,00,00,000
Tanggal: 28Jan'22
Qubit memungkinkan penguncian dana di Ethereum dan meminjam yang setara di BSC. Kontraknya'tokenAddress.safeTransferFrom()' fungsi dieksploitasi dalam peretasan Qubit.
Itu memungkinkan peretas untuk meminjam 77,162 qXETH dari BSC tanpa melakukan setoran ETH apa pun di Ethereum. Dan kemudian, menggunakannya sebagai jaminan untuk meminjam WETH, BTC-B, stablecoin USD, dll., peretas menghasilkan keuntungan ~$80 juta.
Bagaimana Cara Bermain Cerdas Dengan Keamanan Web3?
TVL di DeFi mencapai titik tertinggi sepanjang masa sebesar $303 juta pada tahun 2021. Tetapi eksploit yang terus meningkat di ruang DeFi menyebabkan penurunan nilai TVL pada tahun 2022. Ini mengirimkan alarm peringatan untuk menganggap serius keamanan Web3.
Pencurian protokol DeFi terbesar adalah karena kode yang salah. Untungnya, pendekatan yang lebih ketat untuk menguji kode sebelum diterapkan dapat mengekang sebagian besar jenis serangan ini.
Dengan banyaknya proyek baru yang dibangun di ruang web3, QuillAudit bermaksud untuk memastikan keamanan maksimum untuk proyek dan bekerja demi kepentingan terbaik untuk mengamankan dan memperkuat web3 secara keseluruhan. Dengan cara itu, kami telah berhasil mengamankan sekitar 700+ proyek Web3 dan terus memperluas cakupan perlindungan ruang Web3 melalui berbagai penawaran layanan.
11 views
- Bitcoin
- blockchain
- kepatuhan blockchain
- konferensi blockchain
- coinbase
- kecerdasan
- Konsensus
- konferensi crypto
- pertambangan kripto
- cryptocurrency
- Terdesentralisasi
- Defi
- Aset-Aset Digital
- ethereum
- Mesin belajar
- token yang tidak dapat dipertukarkan
- plato
- plato ai
- Kecerdasan Data Plato
- Platoblockchain
- Data Plato
- permainan plato
- Poligon
- bukti kepemilikan
- Quillhash
- trending
- W3
- peretasan web3
- zephyrnet.dll
