Tinjauan Kejadian Keamanan DeFi 2022

Penulis: seorang ahli keamanan

Belakangan ini, seorang ahli keamanan senior membagikan kelas keamanan DeFi kepada anggota komunitas. Dia meninjau peristiwa keamanan besar yang dialami industri Web3 selama lebih dari setahun terakhir, membahas penyebab dan langkah pencegahan dari peristiwa tersebut, merangkum kerentanan keamanan umum pada kontrak pintar, dan memberikan beberapa saran keamanan. Artikel ini menyusun konten yang dibagikannya sebagai referensi bagi para penggemar DeFi.

Menurut statistik, pada tahun 2022 terjadi lebih dari 300 insiden keamanan blockchain, dengan total jumlah yang terlibat mencapai 4,3 miliar dolar AS.

Berikut adalah analisis rinci dari 8 kasus tipikal, di mana jumlah kerugian sebagian besar melebihi 100 juta USD.

Jembatan Ronin

Tinjauan Acara:

• Pada 23 Maret 2022, jaringan Ronin dari Axie Infinity diretas, mengakibatkan pencurian 173.6 ribu ETH dan 25.5 juta USD, dengan nilai sekitar 5.9 miliar dolar.
• Departemen Keuangan AS menunjukkan bahwa kelompok peretas Korea Utara Lazarus terkait dengan peristiwa ini.
• Menurut laporan, hacker menghubungi dan menipu seorang karyawan perusahaan Sky Mavis melalui LinkedIn, untuk mendapatkan akses ke sistem.

Serangan kali ini adalah contoh dari APT( ancaman berkelanjutan tingkat tinggi ). Kelompok hacker menggunakan metode rekayasa sosial dan lainnya untuk terlebih dahulu mengontrol satu komputer di dalam organisasi target sebagai jembatan, kemudian melakukan penetrasi lebih lanjut untuk akhirnya mencapai tujuan serangan.

Peristiwa ini mengungkapkan lemahnya kesadaran keamanan karyawan perusahaan, serta adanya masalah dalam sistem keamanan internal.

Wormhole

Tinjauan Acara:

• Kode verifikasi tanda tangan untuk kontrak inti Wormhole di Solana memiliki kesalahan, memungkinkan penyerang untuk memalsukan pesan "pengawas" untuk mencetak ETH yang dibungkus Wormhole, mengakibatkan kerugian sekitar 120.000 ETH.
• Jump Crypto menginvestasikan 120.000 ETH untuk menutupi kerugian.

Masalah utama yang dihadapi Wormhole adalah pada tingkat kode, menggunakan beberapa fungsi yang sudah usang. Disarankan kepada pengembang untuk menggunakan versi terbaru, untuk menghindari masalah serupa.

Jembatan Nomad

Tinjauan Acara:

• Pada saat inisialisasi kontrak Replica Jembatan Nomad, root tepercaya diatur ke 0x0, dan root lama tidak dinyatakan tidak berlaku tepat waktu, yang memungkinkan penyerang untuk membuat pesan sembarang untuk mencuri dana, mengakibatkan kerugian lebih dari 190 juta dolar AS.
• Beberapa alamat berpartisipasi dalam serangan, termasuk robot MEV, hacker, dan hacker topi putih.

Ini adalah kasus yang khas. Masalah dalam pengaturan inisialisasi menyebabkan transaksi yang valid dapat dieksekusi berulang kali. Setelah ditemukan oleh robot MEV dan lainnya, banyak serangan transaksi disiarkan, menyebabkan kejadian pencurian.

Karakteristik open-source dari ekosistem kontrak pintar membuat hacker lebih mudah menganalisis dan menemukan celah. Begitu proyek mengalami celah, itu secara dasar menyatakan kegagalan.

Beanstalk

Tinjauan Peristiwa:

• Beanstalk Farms mengalami serangan pinjaman kilat, kehilangan sekitar 1,82 juta dolar AS.
• Penyerang meraih keuntungan lebih dari 80 juta USD, termasuk sekitar 24.830 ETH dan 36 juta BEAN.
• Alasan serangan adalah tidak adanya selang waktu antara pemungutan suara proposal dan pelaksanaannya, sehingga penyerang dapat langsung melaksanakan proposal jahat.

Proses serangan:

1. Membeli token sebelumnya untuk memenuhi syarat proposal, membuat kontrak proposal jahat
2. Mendapatkan banyak token untuk voting melalui pinjaman kilat
3. Kontrak jahat dieksekusi langsung, menyelesaikan arbitrase

Kasus ini mengungkapkan potensi risiko dari mekanisme pemerintahan yang sepenuhnya terdesentralisasi. Disarankan agar proyek menetapkan mekanisme peninjauan proposal, ambang batas pemungutan suara, dan langkah-langkah keamanan seperti kunci waktu.

Wintermute

Tinjauan Peristiwa:

Pada 21 September 2022, Wintermute mengonfirmasi bahwa mereka mengalami serangan hacker. Mereka sebelumnya menggunakan alat Profanity untuk membuat alamat dompet yang menarik untuk mengoptimalkan biaya transaksi. Meskipun mereka mempercepat penghentian penggunaan kunci lama setelah mengetahui adanya celah dalam Profanity, kesalahan internal menyebabkan izin tanda tangan untuk alamat yang terpengaruh tidak dihapus sepenuhnya, mengakibatkan pencurian dana.

Saat menggunakan alat sumber terbuka, risiko keamanan harus dievaluasi secara menyeluruh. Terutama untuk alat yang terkait dengan manajemen kunci, harus lebih berhati-hati.

Jembatan Harmony

Tinjauan Peristiwa:

• Kerugian jembatan lintas rantai Horizon melebihi 100 juta USD, termasuk lebih dari 13 ribu ETH dan 5000 BNB.
• Pendiri Harmony menyatakan bahwa serangan disebabkan oleh kebocoran kunci pribadi.
• Perusahaan analisis blockchain percaya bahwa kelompok peretas Korea Utara, Lazarus Group, mungkin adalah dalang di baliknya.

Jika benar ini adalah ulah kelompok peretas Korea Utara, metode serangannya mungkin mirip dengan insiden Jembatan Ronin. Dalam beberapa tahun terakhir, kelompok peretas Korea Utara sangat aktif menyerang industri cryptocurrency.

Ankr

Tinjauan Acara:

• Setelah kontrak Ankr diperbarui, penyerang mencetak 100 triliun aBNBc secara langsung melalui metode pencetakan.
• Penyerang menukarkan sebagian aBNBc menjadi 5 juta USDC, menyebabkan harga aBNBc anjlok.
• Pelaku arbitrase memanfaatkan mekanisme penundaan harga dari protokol pinjaman Helio untuk mendapatkan keuntungan lebih dari 17 juta dolar AS.
• Ankr berkomitmen untuk mengkompensasi 15 juta dolar.

Investigasi selanjutnya menunjukkan bahwa insiden tersebut disebabkan oleh tindakan buruk seorang karyawan yang telah mengundurkan diri. Masalah yang terungkap termasuk:

• Kontrak kunci dikendalikan oleh akun EOA dan bukan oleh multisignature
• Karyawan inti dapat mengendalikan kunci pribadi Deployer
• Terdapat kekurangan dalam manajemen keamanan internal

Mango

Tinjauan Acara:

• Penyerang menggunakan 10 juta USDT untuk melakukan perdagangan long-short di platform Mango, sambil menaikkan harga MNGO di platform lain.
• Harga MNGO naik dari 0,0382 dolar AS menjadi 0,91 dolar AS, penyerang meraup keuntungan 420 juta dolar AS.
• Penyerang akhirnya meminjam hampir 1,15 miliar dolar aset.
• Penyerang mengusulkan untuk menggunakan dana perbendaharaan untuk membayar utang buruk dalam perjanjian, dengan syarat tidak dilakukan penyelidikan kriminal.
• Desember 2022, seorang yang mengaku sebagai penyerang, Avraham Eisenberg, ditangkap di Puerto Rico.

Ini dapat dianggap sebagai peristiwa keamanan, serta sebagai tindakan arbitrase. Masalah utama terletak pada celah model bisnis, harga koin kecil mudah dimanipulasi, yang menyebabkan kesulitan dalam manajemen posisi platform.

Pengembang proyek harus mempertimbangkan berbagai skenario ekstrem untuk melakukan pengujian. Pengguna yang berpartisipasi dalam proyek juga harus melakukan evaluasi risiko secara menyeluruh, tidak hanya fokus pada hasil.