Proyek cross-chain bridges diserang, kerugian mencapai 80 juta USD
Diawali dengan tahun baru 2024, sebuah peristiwa keamanan besar mengguncang dunia cryptocurrency. Platform jembatan lintas rantai tertentu mengalami serangan peretasan, dengan kerugian mencapai sekitar 80 juta USD. Menurut platform pemantauan risiko keamanan, para penyerang telah memulai serangan percobaan skala kecil sehari sebelumnya dan menggunakan ETH yang dicuri untuk mendukung biaya transaksi untuk serangan skala besar selanjutnya.
Proyek jembatan lintas rantai ini memungkinkan pengguna untuk mentransfer aset kripto antar jaringan blockchain yang berbeda. Saat ini, pihak proyek telah menghentikan operasi kontrak jembatan lintas rantai dan berusaha berkomunikasi dengan pelaku serangan.
Analisis Peristiwa
Serangan kali ini terutama dilakukan dengan memanggil langsung fungsi withdraw dari kontrak jembatan lintas rantai untuk memindahkan aset. Analisis lebih lanjut menunjukkan bahwa fungsi tersebut menggunakan mekanisme verifikasi tanda tangan untuk memastikan legalitas operasi penarikan.
Dalam transaksi blockchain, verifikasi tanda tangan adalah langkah keamanan umum yang digunakan untuk mengonfirmasi identitas dan otoritas peng发起交易. Fungsi withdraw memastikan bahwa hanya pihak yang berwenang yang dapat berhasil memanggil dan mentransfer aset dengan memverifikasi tanda tangan.
Fungsi verifikasi tanda tangan akan mengembalikan jumlah tanda tangan dari pemilik, yang sangat penting untuk memverifikasi keabsahan transaksi. Sistem akan membandingkan jumlah tanda tangan yang dikembalikan dengan ambang batas yang telah ditetapkan untuk menentukan apakah transaksi akan dilaksanakan.
Menurut data di blockchain, kontrak ini memiliki total 10 alamat administrator, nilai required adalah 7, yang berarti 70% administrator perlu menandatangani untuk dapat menarik aset.
Dengan demikian, kejadian ini kemungkinan besar disebabkan oleh serangan penipuan terhadap server yang menyimpan kunci pribadi administrator penyimpanan.
Proses Serangan
Data on-chain menunjukkan bahwa penyerang mulai melancarkan serangan skala kecil terhadap proyek tersebut pada 30 Desember 2023, dan mendistribusikan sejumlah kecil ETH yang dicuri ke alamat serangan lainnya sebagai biaya transaksi.
Kemudian, pada malam tanggal 31 Desember, beberapa alamat serangan melancarkan serangan besar-besaran terhadap aset-aset seperti DAI, WBTC, ETH, USDC, dan USDT dalam proyek tersebut.
Aliran Dana
Hingga waktu laporan, dana yang dicuri telah dipindahkan ke lima alamat yang berbeda. Penyerang memindahkan sekitar 50 juta dolar AS stablecoin (termasuk 30 juta Tether, 10 juta DAI, dan 10 juta USDC), 231 wBTC (senilai sekitar 10 juta dolar AS), dan 9500 ETH (senilai sekitar 21,5 juta dolar AS) ke alamat dompet baru melalui lima transaksi terpisah.
Pencerahan Keamanan
Kejadian ini sekali lagi menyoroti pentingnya keamanan sistem blockchain. Dalam merancang dan mengimplementasikan proyek blockchain, kita harus selalu mengutamakan keamanan.
Pertama, keamanan kode kontrak sangat penting. Sebagai inti dari sistem blockchain, kode kontrak harus ditulis dan diperiksa dengan ketat mengikuti praktik terbaik dan standar keamanan, menghindari kerentanan keamanan yang umum.
Kedua, mekanisme verifikasi identitas dan manajemen hak yang efektif sangat penting. Menggunakan sistem verifikasi yang kuat, tanda tangan ganda, dan kontrol hak yang ketat dapat secara efektif mencegah akses yang tidak sah dan kehilangan aset, memastikan bahwa hanya entitas yang berwenang yang dapat melakukan operasi sensitif.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kejutan Tahun Baru: Jembatan lintas rantai diserang Hacker dengan kerugian mencapai 80 juta dolar AS
Proyek cross-chain bridges diserang, kerugian mencapai 80 juta USD
Diawali dengan tahun baru 2024, sebuah peristiwa keamanan besar mengguncang dunia cryptocurrency. Platform jembatan lintas rantai tertentu mengalami serangan peretasan, dengan kerugian mencapai sekitar 80 juta USD. Menurut platform pemantauan risiko keamanan, para penyerang telah memulai serangan percobaan skala kecil sehari sebelumnya dan menggunakan ETH yang dicuri untuk mendukung biaya transaksi untuk serangan skala besar selanjutnya.
Proyek jembatan lintas rantai ini memungkinkan pengguna untuk mentransfer aset kripto antar jaringan blockchain yang berbeda. Saat ini, pihak proyek telah menghentikan operasi kontrak jembatan lintas rantai dan berusaha berkomunikasi dengan pelaku serangan.
Analisis Peristiwa
Serangan kali ini terutama dilakukan dengan memanggil langsung fungsi withdraw dari kontrak jembatan lintas rantai untuk memindahkan aset. Analisis lebih lanjut menunjukkan bahwa fungsi tersebut menggunakan mekanisme verifikasi tanda tangan untuk memastikan legalitas operasi penarikan.
Dalam transaksi blockchain, verifikasi tanda tangan adalah langkah keamanan umum yang digunakan untuk mengonfirmasi identitas dan otoritas peng发起交易. Fungsi withdraw memastikan bahwa hanya pihak yang berwenang yang dapat berhasil memanggil dan mentransfer aset dengan memverifikasi tanda tangan.
Fungsi verifikasi tanda tangan akan mengembalikan jumlah tanda tangan dari pemilik, yang sangat penting untuk memverifikasi keabsahan transaksi. Sistem akan membandingkan jumlah tanda tangan yang dikembalikan dengan ambang batas yang telah ditetapkan untuk menentukan apakah transaksi akan dilaksanakan.
Menurut data di blockchain, kontrak ini memiliki total 10 alamat administrator, nilai required adalah 7, yang berarti 70% administrator perlu menandatangani untuk dapat menarik aset.
Dengan demikian, kejadian ini kemungkinan besar disebabkan oleh serangan penipuan terhadap server yang menyimpan kunci pribadi administrator penyimpanan.
Proses Serangan
Data on-chain menunjukkan bahwa penyerang mulai melancarkan serangan skala kecil terhadap proyek tersebut pada 30 Desember 2023, dan mendistribusikan sejumlah kecil ETH yang dicuri ke alamat serangan lainnya sebagai biaya transaksi.
Kemudian, pada malam tanggal 31 Desember, beberapa alamat serangan melancarkan serangan besar-besaran terhadap aset-aset seperti DAI, WBTC, ETH, USDC, dan USDT dalam proyek tersebut.
Aliran Dana
Hingga waktu laporan, dana yang dicuri telah dipindahkan ke lima alamat yang berbeda. Penyerang memindahkan sekitar 50 juta dolar AS stablecoin (termasuk 30 juta Tether, 10 juta DAI, dan 10 juta USDC), 231 wBTC (senilai sekitar 10 juta dolar AS), dan 9500 ETH (senilai sekitar 21,5 juta dolar AS) ke alamat dompet baru melalui lima transaksi terpisah.
Pencerahan Keamanan
Kejadian ini sekali lagi menyoroti pentingnya keamanan sistem blockchain. Dalam merancang dan mengimplementasikan proyek blockchain, kita harus selalu mengutamakan keamanan.
Pertama, keamanan kode kontrak sangat penting. Sebagai inti dari sistem blockchain, kode kontrak harus ditulis dan diperiksa dengan ketat mengikuti praktik terbaik dan standar keamanan, menghindari kerentanan keamanan yang umum.
Kedua, mekanisme verifikasi identitas dan manajemen hak yang efektif sangat penting. Menggunakan sistem verifikasi yang kuat, tanda tangan ganda, dan kontrol hak yang ketat dapat secara efektif mencegah akses yang tidak sah dan kehilangan aset, memastikan bahwa hanya entitas yang berwenang yang dapat melakukan operasi sensitif.