Tinjauan Kasus Keamanan Jembatan Lintas Rantai: Analisis Sepuluh Kasus Serangan

Dalam beberapa tahun terakhir, seiring dengan perkembangan teknologi blockchain, jembatan lintas rantai menjadi infrastruktur dasar yang penting untuk menghubungkan ekosistem blockchain publik yang berbeda. Namun, karena jembatan lintas rantai menampung aliran dana yang besar, jembatan ini juga menjadi target utama serangan peretas. Artikel ini akan meninjau sepuluh peristiwa serangan jembatan lintas rantai yang berdampak luas, merangkum pengalaman dan pelajaran, serta memberikan referensi untuk pengembangan keamanan industri.

ChainSwap: Serangan Ganda dan Pengulangan Token

Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker dalam waktu singkat 9 hari, dengan total kerugian sekitar 8,8 juta dolar AS. Serangan kedua sangat luas dampaknya, dengan lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain terkena dampak.

Survei menunjukkan, serangan berasal dari ketidakmampuan protokol untuk secara ketat memvalidasi keabsahan tanda tangan, sehingga penyerang dapat menggunakan tanda tangan yang dihasilkan sendiri untuk melakukan transaksi. Karena kerugian terutama melibatkan token tata kelola, ChainSwap dan beberapa proyek yang terkena dampak memilih untuk melakukan snapshot dan menerbitkan token baru untuk mengganti kerugian pemegang dan penyedia likuiditas.

Poly Network: Serangan Terbesar dalam Sejarah dan Kejutan yang Tak Terduga

Pada bulan Agustus 2021, Poly Network mengalami serangan terbesar dalam sejarah jembatan lintas rantai, dengan dana yang terlibat mencapai 610 juta dolar AS. Penyerang dengan cerdik memanfaatkan celah dalam pengelolaan izin kontrak, berhasil memanipulasi alamat validator di rantai target.

Namun, kejadian ini mengalami perubahan dramatis. Penyerang akhirnya memilih untuk mengembalikan semua dana, dan disebut sebagai "peretas topi putih" oleh Poly Network. Peristiwa ini tidak hanya menunjukkan tantangan keamanan besar yang dihadapi oleh jembatan lintas rantai, tetapi juga menyoroti pentingnya memperkuat manajemen dan mekanisme verifikasi hak kontrak.

Multichain: Kerentanan Tersembunyi dan Pembayaran Sebagian

Pada Januari 2022, Multichain menemukan kerentanan besar yang mempengaruhi berbagai token. Meskipun kerentanan tersebut telah diperbaiki, sekitar 6 juta dolar aset masih dicuri.

Kerentanan berasal dari kurangnya pemeriksaan terhadap keabsahan input Token dari pengguna, terutama tidak mempertimbangkan bahwa tidak semua token mengimplementasikan fungsi permit. Tim Multichain secara aktif memulihkan dana yang dicuri dan mengusulkan rencana kompensasi untuk pengguna yang telah mencabut izin, tetapi tidak lagi bertanggung jawab atas kerugian yang disebabkan oleh penanganan yang tertunda.

QBridge: Kesalahan Verifikasi Token dan Kerugian Besar

Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, mengakibatkan kerugian sekitar 80 juta dolar. Penyerang memanfaatkan celah kritis dalam QBridge saat memproses transfer token daftar putih.

Secara khusus, QBridge gagal melakukan verifikasi kedua pada alamat nol, yang menyebabkan penyerang mencetak sejumlah besar token xETH di BSC tanpa menyetor token apa pun. Token-token palsu ini kemudian digunakan sebagai jaminan untuk meminjam token lain dari Qubit, menguras kolam dana protokol.

Meter.io: Asumsi Salah dan Skema Kompensasi Inovatif

Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang karena "asumsi kepercayaan yang salah", mengakibatkan kerugian sebesar 4,4 juta dolar. Penyerang berhasil memanfaatkan kerentanan pada fungsi setoran ERC20 yang mendasarinya, memalsukan transfer BNB dan ETH.

Tim Meter telah mengadopsi skema kompensasi yang inovatif, menerbitkan token PASS baru untuk mengompensasi kerugian pengguna, dan berjanji untuk membeli kembali token-token tersebut dengan pendapatan di masa depan. Meskipun pendekatan ini inovatif, hal ini juga memicu diskusi tentang keberlanjutan jangka panjang.

Ronin: Serangan Rekayasa Sosial dan Kompensasi Pembiayaan Besar

Pada Maret 2022, blockchain Ronin yang mendukung Axie Infinity mengalami serangan rekayasa sosial yang direncanakan dengan baik, dengan kerugian mencapai 620 juta USD. Penyerang berhasil menyusup ke sistem Sky Mavis melalui perusahaan perekrutan palsu, akhirnya mengendalikan cukup banyak node validator.

Meskipun dana yang dicuri tidak dapat dipulihkan, Sky Mavis dengan cepat menyelesaikan pendanaan sebesar 150 juta dolar AS untuk mengganti kerugian pengguna. Peristiwa ini menyoroti pentingnya faktor manusia dalam keamanan blockchain, selain dari kerentanan teknis.

Wormhole: Kerentanan Kontrak Inti dan Perbaikan Cepat

Pada bulan Februari 2022, protokol cross-chain Wormhole mengalami serangan senilai 326 juta USD akibat kesalahan verifikasi tanda tangan pada kontrak inti di jaringan Solana. Penyerang berhasil memalsukan pesan "guardian" dan mencetak whETH dalam jumlah besar.

Perlu dicatat bahwa Jump Crypto dengan cepat menyuntikkan jumlah ETH yang setara ke Wormhole, memungkinkan protokol untuk segera memulihkan operasinya. Tindakan ini menunjukkan pentingnya dukungan yang kuat untuk keamanan proyek lintas rantai.

EvoDeFi: Krisis Likuiditas dan Hilangnya Proyek

Pada bulan Juni 2022, USDT di DEX Oasis ValleySwap mengalami depeg yang serius, diperkirakan menyebabkan kerugian lebih dari sepuluh juta dolar. Masalah ini berasal dari kekurangan likuiditas di chain sumber pada jembatan lintas rantai yang digunakan, EVODeFi.

Proses penanganan kejadian ini sangat mengecewakan, pihak terkait dengan cepat menghindari tanggung jawab, sedangkan pihak proyek sebenarnya memilih untuk menghindari tanggung jawab. Ini menyoroti pentingnya mempertimbangkan latar belakang proyek dan kemampuan untuk mengambil tanggung jawab saat memilih jembatan cross-chain.

Horizon: Kontroversi Kebocoran Kunci Pribadi dan Kompensasi Komunitas

Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, dengan kerugian hampir 100 juta dolar. Penyelidikan menunjukkan bahwa serangan tersebut kemungkinan disebabkan oleh kebocoran kunci pribadi.

Tim Harmony mengusulkan rencana untuk mengompensasi pengguna melalui penerbitan token tambahan dalam waktu 3 tahun, tetapi tidak berhasil mendapatkan dukungan konsensus dari komunitas. Peristiwa ini menekankan pentingnya pengelolaan kunci pribadi, sekaligus mencerminkan kesulitan dalam menyeimbangkan kepentingan semua pihak saat menangani konsekuensi dari serangan berskala besar.

Nomad: Kesalahan dalam Upgrade dan Pengembalian Sukarela oleh Komunitas

Pada Agustus 2022, Nomad kehilangan dana sekitar 190 juta USD akibat kesalahan inisialisasi dalam pembaruan kontrak. Kesalahan yang tampaknya sederhana ini memungkinkan siapa pun untuk menarik dana dari jembatan lintas rantai.

Perlu dicatat bahwa beberapa hacker topi putih menyatakan kesediaan untuk mengembalikan dana, menunjukkan kemampuan membersihkan diri komunitas. Namun, peristiwa ini juga mengingatkan kita bahwa bahkan kesalahan kecil dalam peningkatan dapat membawa akibat yang bencana.

Ringkasan dan Inspirasi

Merefleksikan peristiwa serangan besar ini, kita dapat menarik beberapa pelajaran berikut:

1. Audit teknis sangat penting: Sebagian besar serangan berasal dari kerentanan kontrak atau kesalahan dalam peningkatan, menekankan perlunya audit kode yang menyeluruh.

2. Mekanisme verifikasi berlapis: Kegagalan titik tunggal dapat mengakibatkan konsekuensi bencana, sehingga sangat penting untuk membangun mekanisme verifikasi keamanan yang berlapis.

3. Kemampuan respons cepat: Menemukan dan menangani masalah keamanan secara tepat waktu dapat secara signifikan mengurangi kerugian, sangat penting untuk membangun mekanisme pemantauan dan respons darurat yang efektif.

4. Kepercayaan dan Komunikasi Komunitas: Dalam proses penanganan krisis, menjaga komunikasi yang transparan dengan komunitas dan mengajukan rencana kompensasi yang wajar sangat penting untuk menjaga perkembangan jangka panjang proyek.

5. Faktor manusia tidak boleh diabaikan: Selain aspek teknis, kita juga harus waspada terhadap risiko keamanan yang ditimbulkan oleh faktor manusia seperti rekayasa sosial.

6. Cadangan dana dan asuransi: Memiliki cadangan dana yang cukup atau mekanisme asuransi dapat melindungi kepentingan pengguna dengan lebih baik saat terjadi kecelakaan keamanan.

Jembatan lintas rantai sebagai infrastruktur dasar yang menghubungkan ekosistem blockchain yang berbeda, keamanannya secara langsung mempengaruhi stabilitas seluruh pasar cryptocurrency. Pengembang, investor, dan pengguna harus mengambil pelajaran dari peristiwa ini dan bersama-sama berusaha untuk meningkatkan standar keamanan di seluruh industri.