Tinjauan Insiden Serangan Jembatan Lintas Rantai: Hampir 2 Miliar Dolar AS Terancam, Lebih dari 1,55 Miliar Dolar AS Telah Dipulihkan atau Dikompensasikan

Dalam ekosistem blockchain terdapat banyak blockchain publik, namun karena aset utama terkonsentrasi di beberapa rantai saja, jembatan lintas rantai menjadi alat penting untuk menghubungkan aset dari berbagai blockchain publik. Namun, insiden keamanan DeFi yang sering terjadi baru-baru ini telah menimbulkan kekhawatiran tentang keamanan jembatan lintas rantai. Artikel ini akan meninjau 10 insiden serangan jembatan lintas rantai yang paling signifikan dalam beberapa tahun terakhir, merangkum pengalaman dan pelajaran untuk memberikan referensi bagi tim pengembang dan pengguna.

ChainSwap: Kerugian sekitar 8,8 juta dolar akibat dua serangan

Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan hacker dalam waktu singkat selama 9 hari. Serangan pertama mengakibatkan kerugian sekitar 800.000 dolar AS, sementara serangan kedua merugikan hingga 8 juta dolar AS, yang mempengaruhi lebih dari 20 proyek yang menggunakan ChainSwap untuk cross-chain.

Penyebab kecelakaan adalah karena protokol tidak memverifikasi keabsahan tanda tangan dengan ketat, sehingga penyerang dapat menggunakan tanda tangan yang dihasilkan sendiri untuk menyelesaikan transaksi. Karena aset yang terpengaruh terutama adalah token tata kelola, ChainSwap dan beberapa proyek yang terkena dampak memilih untuk mengganti pemegang dan penyedia likuiditas melalui snapshot dan penerbitan ulang token.

Poly Network: Semua aset senilai 610 juta dolar AS yang dicuri telah dipulihkan

Pada 10 Agustus 2021, protokol lintas rantai Poly Network mengalami serangan serius, dengan total kerugian sekitar 610 juta dolar AS di tiga jaringan yaitu Ethereum, Binance Smart Chain, dan Polygon.

Serangan memanfaatkan celah dalam manajemen hak akses kontrak Poly Network. Penyerang berhasil mengganti alamat validator di rantai target dengan alamat yang mereka kendalikan, sehingga dapat menandatangani dan melaksanakan operasi pemindahan aset.

Meskipun para penyerang merencanakan dengan hati-hati dan menggunakan token privasi untuk menyembunyikan sumber dana, mereka akhirnya memilih untuk mengembalikan semua dana yang dicuri. Poly Network kemudian menyebutnya sebagai "peretas topi putih" dan mengusulkan untuk mempekerjakan mereka sebagai kepala penasihat keamanan.

Multichain: 6 juta dolar aset rusak, hampir setengahnya telah dipulihkan

Pada bulan Januari 2022, Multichain menemukan kerentanan serius yang mempengaruhi berbagai token. Meskipun kerentanan tersebut telah diperbaiki, hampir 8000 alamat pengguna masih terpengaruh, menyebabkan kerugian sekitar 6,04 juta dolar.

Tim keamanan menganalisis dan menunjukkan bahwa celah tersebut berasal dari Multichain yang mengabaikan saat memverifikasi legalitas token yang dimasukkan oleh pengguna, tidak mempertimbangkan bahwa tidak semua token mengimplementasikan fungsi tertentu. Ini mengakibatkan aset beberapa pengguna yang sudah diberi otorisasi dipindahkan ke alamat jahat yang dibangun oleh penyerang.

Multichain dengan cepat mengambil tindakan, dalam waktu singkat memulihkan hampir 50% dana yang dicuri. Tim kemudian mengusulkan skema kompensasi, tetapi hanya untuk pengguna yang mencabut otorisasi kontrak sebelum batas waktu yang ditentukan.

QBridge: Kerugian 80 juta USD, hanya membayar 2%

Pada akhir Januari 2022, jembatan lintas rantai QBridge dari platform pinjaman Qubit diserang, dengan kerugian mencapai 80 juta dolar AS.

Penyerang memanfaatkan celah kritis dalam QBridge saat menangani transfer token whitelist. Karena sistem tidak melakukan konfirmasi kedua pada alamat nol, penyerang dapat mencetak sejumlah besar token xETH di jaringan BSC tanpa menyetor aset nyata. Token-token palsu ini kemudian digunakan sebagai jaminan untuk meminjam token lain dari Qubit, yang menyebabkan kehabisan dana di platform.

Saat ini, tingkat penggunaan Qubit hampir nol, data resmi menunjukkan bahwa 98% dari dana yang dicuri belum mendapatkan kompensasi.

Meter.io: Kerugian 4,4 juta dolar AS, berjanji untuk membayar keuntungan di masa depan

Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar.

Penjelasan resmi menyatakan bahwa masalah terletak pada "asumsi kepercayaan yang salah" dalam kode ekstensi Meter, yang memungkinkan penyerang untuk memalsukan transfer BNB dan ETH dengan memanggil fungsi setoran dasar.

Meter awalnya berencana menggunakan token MTRG untuk mengkompensasi kerugian pengguna, tetapi setelah pemungutan suara komunitas, diputuskan untuk menerbitkan token PASS baru sebagai kompensasi, dan berjanji untuk membeli kembali token-token ini dengan pendapatan di masa depan. Namun, hingga saat ini, belum ada operasi pembelian kembali yang dilakukan.

Ronin: 620 juta dolar dicuri, telah dibayar penuh

Pada bulan Maret 2022, rantai Ronin di balik Axie Infinity mengalami kecelakaan keamanan besar, dengan kerugian sekitar 620 juta dolar. Perlu dicatat bahwa serangan terjadi pada 23 Maret, tetapi baru ditemukan hampir seminggu kemudian.

Survei menunjukkan bahwa ini adalah serangan rekayasa sosial yang kompleks. Penyerang melalui proses perekrutan yang dipalsukan, menggoda karyawan Sky Mavis (pengembang Axie Infinity dan Ronin) untuk mengunduh "surat penerimaan" yang mengandung malware. Dengan cara ini, peretas berhasil menyusup ke jaringan Ronin dan mengendalikan beberapa node validasi.

Meskipun dana yang dicuri tidak dapat dipulihkan secara langsung, Sky Mavis dengan cepat menyelesaikan putaran pendanaan sebesar 150 juta dolar AS untuk mengganti kerugian pengguna. Pada akhir Juni, jembatan Ronin dibuka kembali, dan pengguna dapat menerima kompensasi. Namun, karena harga ETH turun drastis selama periode ini, nilai kompensasi yang sebenarnya telah menyusut sekitar dua pertiga.

Wormhole: Kerugian 326 juta dolar AS, telah dibayar penuh

Pada awal Februari 2022, protokol cross-chain Wormhole diserang, kehilangan sekitar 120.000 ETH senilai 3,26 juta dolar AS.

Serangan memanfaatkan celah dalam kode verifikasi tanda tangan kontrak inti Wormhole di sisi Solana. Penyerang berhasil memalsukan pesan "penjaga", sehingga dapat mencetak whETH dalam jumlah besar dan menarik ETH yang setara dari Ethereum.

Untungnya, perusahaan induk Wormhole, Jump Crypto, dengan cepat menyuntikkan 120.000 ETH, menutupi semua kerugian, sehingga Wormhole dapat dengan cepat memulihkan operasinya.

EvoDeFi: Diperkirakan kerugian lebih dari sepuluh juta dolar, belum ditangani

Pada bulan Juni 2022, USDT di ValleySwap, DEX terbesar dalam ekosistem Oasis, mengalami depeg yang serius, mengakibatkan kehilangan dana yang besar. Meskipun jumlah kerugian spesifik tidak dipublikasikan, diperkirakan mencapai puluhan juta dolar.

Masalahnya terletak pada kekurangan likuiditas yang parah di chain sumber yang digunakan oleh jembatan lintas rantai EVODeFi di ValleySwap. Meskipun EVODeFi menyalahkan masalah ini pada kepanikan pasar, penjelasan ini tidak meyakinkan. Pihak resmi Oasis menekankan bahwa mereka tidak ada hubungannya dengan ValleySwap dan EvoDeFi, dan menunjukkan bahwa EvoDeFi memiliki risiko tinggi.

Sayangnya, kerugian pengguna hingga kini belum mendapatkan solusi yang substansial. Pihak terkait tampaknya memilih untuk menghindari tanggung jawab, media sosial resmi ValleySwap dan EVODeFi telah berhenti diperbarui sejak peristiwa tersebut.

Horizon: Kerugian hampir 100 juta dolar AS, rencana kompensasi masih dalam pembahasan.

Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, menyebabkan kerugian dana sekitar 100 juta dolar.

Pendiri Harmony, Stephen Tse, mengakui bahwa serangan tersebut kemungkinan disebabkan oleh kebocoran kunci pribadi. Serangan tersebut melibatkan berbagai aset di jaringan Ethereum dan BNB. Setelah kejadian tersebut, Horizon meningkatkan ambang batas multi-tanda tangan, dari yang awalnya 5 dari 2 menjadi 5 dari 4.

Harmony pernah mengusulkan untuk meningkatkan jumlah token ONE dalam 3 tahun untuk sebagian mengganti kerugian pengguna, tetapi tidak berhasil mendapatkan dukungan bulat dari komunitas. Saat ini, tim sedang merumuskan kembali rencana kompensasi.

Nomad: 190 juta dolar likuiditas telah dicuri, sebagian dana diharapkan dapat dipulihkan

Pada awal Agustus 2022, jembatan lintas rantai Nomad mengalami insiden keamanan yang signifikan, mengakibatkan hilangnya likuiditas sebesar 190 juta dolar AS dengan cepat. Peristiwa ini juga berdampak tidak langsung pada protokol interoperabilitas Layer2 Connext, menyebabkan kerugian sekitar 3,34 juta dolar AS.

Penyebab kecelakaan adalah karena Nomad secara keliru menginisialisasi root terpercaya sebagai 0x00 dalam pembaruan kontrak. Ini memungkinkan siapa saja untuk menarik dana dari jembatan lintas rantai dengan hanya memodifikasi parameter transaksi.

Menurut analisis, serangan kali ini melibatkan 1251 alamat ETH, di mana 12 alamat ENS menyumbang 38% dari total jumlah kerugian. Meskipun pihak proyek belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih telah menyatakan kesediaan untuk mengembalikan dana, memberikan harapan untuk memulihkan sebagian kerugian.

Ringkasan dan Pelajaran

Frekuensi kecelakaan keamanan pada jembatan lintas rantai menyoroti tingginya risiko di bidang ini. Bahkan jembatan lintas rantai terkenal yang memiliki peringkat likuiditas tinggi seperti Multichain, Wormhole, dan Poly Network juga pernah mengalami masalah keamanan, yang memperingatkan kita bahwa setiap jembatan lintas rantai bisa menghadapi ancaman keamanan.

Namun, kami juga mengamati bahwa proyek dengan kekuatan latar belakang yang lebih kuat dan dana yang cukup besar sering kali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan. Proyek-proyek seperti Poly Network, Ronin Network, dan Wormhole, setelah mengalami pencurian dana dalam jumlah besar, dapat memberikan kompensasi penuh atau sebagian besar melalui berbagai cara.

Selain itu, kemampuan tim untuk memantau secara real-time dan merespons dengan cepat juga sangat penting. Misalnya, Hop Protocol dan StarGate segera mengambil tindakan setelah menerima laporan aktivitas mencurigakan, berhasil menggagalkan potensi serangan.

Pengalaman dan pelajaran ini mengingatkan kita bahwa dalam memilih cross-chain bridges, kita tidak hanya perlu mempertimbangkan kekuatan teknisnya, tetapi juga harus memperhatikan latar belakang tim proyek, kekuatan finansial, dan kemampuan dalam menghadapi risiko. Pada saat yang sama, pengguna juga harus tetap waspada, secara berkala memeriksa status otorisasi, dan berhati-hati saat menggunakan layanan cross-chain.