Tinjauan Sepuluh Kejadian Keamanan Terbesar di Bidang Web3 Tahun 2024

Pada tahun 2024, industri blockchain terus berinovasi sambil menghadapi tantangan keamanan yang semakin ketat. Menurut pemantauan platform data, hingga saat ini, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek telah mencapai 2,491 miliar dolar AS.

Peristiwa-peristiwa ini tidak hanya mengungkapkan kekurangan teknis dalam pengelolaan kunci privat dan kontrak pintar, tetapi juga menyoroti risiko potensial yang ada dalam rekayasa sosial dan manajemen internal. Mari kita meninjau sepuluh peristiwa keamanan Web3 terpenting tahun 2024, untuk belajar dari pengalaman tersebut agar dapat lebih baik menghadapi ancaman keamanan di masa depan.

1. Sebuah bursa Jepang mengalami serangan besar

Jumlah Kerugian: 304 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada tanggal 31 Mei 2024, sebuah bursa cryptocurrency terkenal di Jepang mengalami serangan bersejarah. Penyerang memanfaatkan kunci privat yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke lebih dari 10 alamat yang berbeda. Peristiwa ini mengungkapkan kekurangan serius bursa tersebut dalam manajemen kunci privat dan perlindungan keamanan berlapis. Meskipun bursa tersebut mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, Bitcoin yang dicuri telah dipindahkan secara terdistribusi dan dibersihkan menggunakan alat pencampuran, yang menimbulkan tantangan besar dalam upaya pelacakan.

Pada 24 Desember, polisi Jepang mengidentifikasi bahwa kejadian pencurian ini dilakukan oleh suatu organisasi hacker internasional.

2. PlayDapp mengalami pukulan berat

Jumlah kerugian: 2,90 miliar dolar AS Metode serangan: Kebocoran kunci pribadi

Pada 9 Februari 2024, PlayDapp mengalami insiden keamanan yang serius. Hacker mencuri kunci pribadi untuk mencetak 2 miliar token PLA, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan hacker gagal, hacker kemudian mencetak 15,9 miliar token PLA, bernilai 253,9 juta dolar AS. Sebagian token mengalir ke salah satu bursa, setelah itu PlayDapp terpaksa menghentikan kontrak PLA dan beralih ke kontrak token baru. Peristiwa ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci pribadi dan penanganan darurat.

3. Bursa kripto terbesar di India mengalami serangan yang terarah

Jumlah kerugian: 235 juta dolar AS Metode Serangan: Serangan Jaringan dan Phishing

Pada 18 Juli 2024, dompet multi-tanda tangan dari bursa kripto terbesar di India menjadi sasaran serangan hacker yang terarah. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multi-tanda tangan untuk menandatangani transaksi peningkatan kontrak, dan kemudian memanfaatkan hak akses dari kontrak yang ditingkatkan untuk mengalihkan semua aset dalam dompet tersebut. Kasus ini menyoroti risiko potensial dari dompet multi-tanda tangan dalam pengelolaan konfigurasi hak akses dan transparansi operasional, serta memicu refleksi mendalam dalam industri mengenai mekanisme pengelolaan risiko dan keamanan internal proyek.

4. Gala Games Mengalami Serangan Over-Inflasi Token

Jumlah kerugian: 2,16 miliar dolar AS Metode Serangan: Kerentanan Kontrol Akses

Pada 20 Mei 2024, alamat priviledge tertentu dari Gala Games diretas oleh hacker. Penyerang memanggil fungsi mint dalam kontrak token, dan mencetak 5 miliar token GALA sekaligus. Setelah itu, hacker menukarkan token yang ditambahkan secara bertahap menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta dolar AS. Tim Gala Games segera mengaktifkan fungsi daftar hitam untuk memblokir beberapa akun hacker setelah peristiwa tersebut, dan melalui jalur hukum, berhasil mendapatkan kembali sebagian kerugian.

5. Dompet pribadi pendiri cryptocurrency terkenal diserang

Jumlah kerugian: 1,12 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada 31 Januari 2024, empat dompet pribadi dari salah satu pendiri bersama proyek cryptocurrency terkenal telah diretas, yang mengakibatkan pencurian cryptocurrency senilai 112 juta dolar AS. Dompet-dompet ini diduga menjadi target serangan karena kurangnya perlindungan ganda dari perangkat keras. Setelah kejadian tersebut, salah satu bursa besar berhasil membekukan aset yang dicuri senilai 4,2 juta dolar AS dan membantu melacaknya, tetapi sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.

6. Munchables Mengalami Serangan Peretasan Internal

Jumlah kerugian: 62,5 juta dolar AS Metode Serangan: Serangan Rekayasa Sosial

Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang langka. Penyerang menyamar sebagai pengembang blockchain dan berhasil mendapatkan kode inti dan kunci sensitif melalui penyusupan jangka panjang. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan dari komunitas dan tim, peretas akhirnya mengembalikan semua dana yang dicuri. Peristiwa ini mengungkapkan pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.

7. Bursa kripto terbesar di Turki diserang

Jumlah Kerugian: 55 juta dolar AS Metode Serangan: Kebocoran Kunci Pribadi

Pada 22 Juni 2024, bursa kripto terbesar di Turki mengalami serangan kebocoran kunci pribadi, dengan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan dari salah satu bursa besar, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya masih belum berhasil dipulihkan. Peristiwa ini memperdalam kekhawatiran pasar tentang pengelolaan kunci pribadi di bursa terpusat.

8. Dompet multi-tanda Radiant Capital diserang

Jumlah kerugian: 53 juta dolar AS Metode Serangan: Kebocoran Kunci Privat

Pada 17 Oktober 2024, dompet multisignature Radiant Capital diserang oleh peretas. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas yang rendah, peretas berhasil menguasai kunci pribadi dari 3 penandatangan untuk melakukan tanda tangan off-chain, yang mengakibatkan transfer kepemilikan kontrak dompet ke alamat jahat, dan akhirnya menyebabkan pencurian sebesar 53 juta dolar. Serangan ini memicu refleksi industri terhadap desain dan mekanisme tata kelola dompet multisignature.

Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta dolar AS dan lebih dari 1900 ETH akibat celah kontrak sebelum serangan ini. Ini sekali lagi menunjukkan bahwa tingkat perhatian tim proyek Web3 terhadap keamanan masih perlu ditingkatkan.

9. Hedgey Finance Multi-chain Contract Diserang

Jumlah Kerugian: 44,7 juta dolar AS Metode Serangan: Kerentanan Kontrak

Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak on-chain. Hacker memanfaatkan celah persetujuan pada kontrak ClaimCampaigns-nya, berhasil mengekstrak token dari dua rantai yaitu Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta USD. Kejadian ini menyoroti pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.

10. Dompet panas suatu bursa diretas

Jumlah kerugian: 44,7 juta dolar AS Metode serangan: Kebocoran kunci pribadi

Pada tanggal 19 September 2024, dompet panas suatu bursa diretas oleh hacker, yang melibatkan beberapa blockchain termasuk Ethereum, BNB Chain, Tron, dan lain-lain. Meskipun bursa dengan cepat memulai mekanisme pemindahan aset dan pembekuan penarikan, hacker telah berhasil menarik aset senilai 44,7 juta dolar AS. Serangan ini kembali mencerminkan tingginya risiko dalam pengelolaan dompet panas bursa terpusat dan lebih lanjut mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.

Serangan keamanan yang sering terjadi di tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari pengawalan yang aman. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian memberikan pelajaran yang mendalam. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian teknologi, standar manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman, memberikan perlindungan yang lebih dapat diandalkan bagi pengguna dan investor.