Tinjauan Kejadian Keamanan Jembatan Lintas Rantai: Sepuluh Serangan Melibatkan Lebih dari 1,9 Miliar Dolar

Jembatan lintas rantai sebagai infrastruktur dasar yang menghubungkan berbagai jaringan blockchain, dalam beberapa tahun terakhir sering kali menjadi sasaran serangan, menyebabkan kerugian dana yang besar. Artikel ini meninjau sepuluh peristiwa keamanan jembatan lintas rantai yang signifikan, yang totalnya melibatkan lebih dari 1,9 miliar USD, di mana sekitar 1,55 miliar USD telah berhasil dipulihkan atau dibayarkan. Kasus-kasus ini menyoroti tantangan keamanan yang dihadapi jembatan lintas rantai, serta memberikan pengalaman dan pelajaran berharga bagi industri.

ChainSwap: Kerugian sekitar 8 juta dolar akibat dua serangan

Pada bulan Juli 2021, ChainSwap mengalami dua serangan dalam waktu singkat 9 hari. Kerugian pertama sekitar 800.000 dolar AS, dan kerugian kedua meluas menjadi 8.000.000 dolar AS, mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.

Penyebab serangan terletak pada protokol yang tidak secara ketat memverifikasi keabsahan tanda tangan, yang memungkinkan penyerang menggunakan tanda tangan yang dihasilkan sendiri untuk menyelesaikan transaksi. Karena yang terpengaruh terutama adalah token tata kelola, beberapa proyek memilih untuk melakukan snapshot dan menerbitkan kembali token untuk mengkompensasi pemegang.

Poly Network: Semua dana sebesar 610 juta dolar AS yang dicuri telah berhasil dipulihkan

Pada Agustus 2021, protokol lintas rantai Poly Network mengalami serangan besar, dengan kerugian sekitar 610 juta dolar AS dalam aset di Ethereum, Binance Smart Chain, dan Polygon.

Serangan memanfaatkan celah dalam manajemen hak kontrak, penyerang berhasil mengubah alamat validator di rantai target. Meskipun persiapan awal sudah matang, hacker akhirnya memilih untuk mengembalikan seluruh dana, dan Poly Network menyebutnya sebagai hacker "topi putih".

Multichain: Kerugian $6 juta akibat kerentanan telah dibayar

Pada Januari 2022, Multichain menemukan sebuah celah penting yang mempengaruhi berbagai token. Sekitar 7962 alamat pengguna terpengaruh, dengan total kerugian mencapai 6,04 juta dolar.

Kerentanan berasal dari tidak memeriksa keabsahan Token input pengguna dengan benar. Pihak resmi telah memulihkan hampir 50% dana yang dicuri, dan telah mengajukan rencana kompensasi, tetapi hanya terbatas pada pengguna yang segera mencabut otorisasi.

QBridge: Kerugian 80 juta dolar hanya diganti 2%

Pada akhir Januari 2022, jembatan lintas rantai QBridge dari platform peminjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar.

Penyerang memanfaatkan kerentanan QBridge dalam menangani transfer token whitelist, berhasil mencetak sejumlah besar token xETH di BSC dan mengosongkan jaminan Qubit. Saat ini, penggunaan Qubit sedang lesu, 98% dana yang dicuri belum mendapatkan kompensasi.

Meter.io: Kerugian 4,4 juta dolar AS akan dibayar dari pendapatan masa depan

Pada Februari 2022, Meter Passport cross-chain bridges diserang, mengakibatkan kerugian sebesar 4,4 juta dolar.

Masalah terletak pada "asumsi kepercayaan yang salah" dalam kode dasar, yang memungkinkan penyerang memalsukan transfer BNB dan ETH. Meter melakukan kompensasi dengan menerbitkan token baru PASS, berjanji untuk membeli kembali dengan pendapatan di masa depan, tetapi belum dilaksanakan.

Ronin: Mendapatkan penggantian penuh setelah pencurian 620 juta USD

Pada Maret 2022, rantai Ronin yang digunakan oleh Axie Infinity mengalami serangan besar sebesar 620 juta dolar.

Serangan berasal dari metode rekayasa sosial, hacker menyusup ke sistem melalui perekrutan palsu dan akhirnya mengendalikan beberapa node validasi. Meskipun dana yang dicuri tidak berhasil dipulihkan, pengembang Sky Mavis berhasil mengumpulkan 150 juta dolar AS melalui pendanaan untuk mengganti kerugian pengguna.

Wormhole: Kerugian $326 juta Mendapatkan Penambahan Segera

Pada bulan Februari 2022, protokol cross-chain Wormhole diserang, mengalami kerugian sekitar 326 juta dolar.

Serangan memanfaatkan celah verifikasi tanda tangan di kontrak sisi Solana. Pihak akuisisi perusahaan pengembang, Jump Crypto, dengan cepat menambah jumlah ETH yang setara, sehingga Wormhole dapat melanjutkan operasinya.

EvoDeFi: Diduga Backdoor Mencuri Aset Pengguna

Pada bulan Juni 2022, USDT di DEX ValleySwap ekosistem Oasis mengalami depeg serius, menyebabkan kerugian yang diperkirakan mencapai puluhan juta dolar.

Masalah berasal dari kurangnya likuiditas di rantai sumber yang digunakan oleh jembatan lintas rantai EVODeFi. Ada dugaan bahwa mungkin aset pengguna dicuri melalui pintu belakang. Saat ini, pihak terkait belum memberikan solusi, dan kerugian pengguna tidak dapat dipulihkan.

Horizon: Kerugian hampir 100 juta USD, rencana kompensasi masih dalam penyusunan

Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian sekitar 100 juta dolar.

Pihak resmi mengakui bahwa kemungkinan serangan disebabkan oleh kebocoran kunci pribadi. Saat ini sedang bernegosiasi dengan komunitas untuk merumuskan rencana kompensasi baru.

Nomad: 190 juta dolar AS dicuri, sebagian dana mungkin akan dipulihkan

Pada Agustus 2022, jembatan lintas rantai Nomad mengalami serangan besar-besaran senilai 190 juta dolar.

Serangan berasal dari kesalahan inisialisasi dalam pembaruan kontrak. Saat ini belum ada rencana kompensasi yang jelas, tetapi beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana.

Ringkasan

Kasus-kasus ini menunjukkan bahwa bahkan proyek jembatan lintas rantai terkemuka menghadapi ancaman keamanan yang serius. Dibandingkan dengan itu, proyek yang didukung oleh kekuatan latar belakang yang kuat memiliki keunggulan dalam menangani krisis, seringkali dapat melindungi kepentingan pengguna dengan lebih baik. Pada saat yang sama, pemantauan waktu nyata yang efektif dan mekanisme respons cepat juga merupakan kunci untuk mencegah serangan. Masalah keamanan jembatan lintas rantai masih memerlukan perhatian dan perbaikan berkelanjutan dari industri.