keamanan aset on-chain: bagaimana menghindari kerugian besar yang disebabkan oleh kesalahan manusia
Seiring dengan munculnya aplikasi blockchain seperti keuangan terdesentralisasi dan NFT, aset pengguna secara bertahap beralih dari platform terpusat ke layanan on-chain seperti dompet terdesentralisasi, jembatan lintas rantai, dan produk pinjaman. Namun, tren ini juga disertai dengan serangan peretasan yang sering terjadi dan kejadian pencurian aset, sehingga jaringan blockchain sering dijuluki sebagai "mesin pencairan peretas".
Sebagian besar dari insiden keamanan ini disebabkan oleh kerentanan kode, tetapi juga ada banyak yang disebabkan oleh faktor manusia. Pada 20 September, sebuah pembuat pasar kripto terkenal mengalami pencurian aset senilai 160 juta dolar AS, yang merupakan salah satu contoh kesalahan manusia yang tipikal.
Kerugian sebesar 1,6 juta dolar AS disebabkan oleh kesalahan optimasi biaya Gas
Setelah kejadian tersebut, pendiri perusahaan pembuat pasar tersebut menyatakan di media sosial bahwa bisnis perdagangan terpusat dan perdagangan over-the-counter perusahaan tidak terpengaruh, dan modal yang tersisa masih dua kali lipat dari utang. Ia juga menekankan bahwa dana pengguna yang memiliki perjanjian pembuatan pasar dengan perusahaan aman. Dari 90 aset yang diserang, hanya dua yang memiliki nilai nominal lebih dari 1 juta dolar, sehingga kemungkinan terjadinya penjualan besar-besaran sangat kecil.
Perusahaan keamanan blockchain Salus Security dengan cepat mengidentifikasi alamat hacker. Sumber dana dari alamat tersebut termasuk alat pencampur anonim dan penarikan besar-besaran dari beberapa platform trading.
Menurut platform analisis data blockchain tertentu, sekitar 73% dari 160 juta dolar yang dicuri adalah stablecoin, 8% adalah WBTC, dan 6% adalah ETH. Penyerang menyetor 114 juta dolar ke suatu bursa terdesentralisasi untuk menyediakan likuiditas, menjadi penyedia likuiditas terbesar ketiga di platform tersebut.
Perusahaan keamanan Slow Fog menganalisis bahwa kemungkinan penyebab pencurian adalah penggunaan dompet nomor cantik yang dibuat dengan alat Profanity (alamat dimulai dengan 0x0000000).
Hari berikutnya, pendiri pembuat pasar mengonfirmasi bahwa mereka telah menggunakan Profanity dan alat internal untuk membuat alamat dompet pada bulan Juni, dengan tujuan mengoptimalkan biaya Gas daripada mengejar nomor cantik. Setelah mengetahui adanya celah pada Profanity minggu lalu, perusahaan mempercepat pengabaian kunci lama, tetapi karena kesalahan operasional internal, mereka memanggil fungsi yang salah, yang menyebabkan tidak dapat menghapus tanda tangan dan izin eksekusi dari alamat yang terpengaruh.
Untuk pemulihan dana yang dicuri, pendiri menyatakan bahwa jika seluruhnya dikembalikan, mereka akan membayar 10% atau 16 juta dolar AS sebagai hadiah kepada peretas.
Mengenai operasi selanjutnya, pendiri menekankan bahwa meskipun celah ini berasal dari kesalahan manusia internal, perusahaan tidak akan memecat karyawan, mengubah strategi, mengumpulkan dana tambahan, atau menghentikan bisnis DeFi.
Namun, data on-chain menunjukkan bahwa perusahaan tersebut memiliki utang DeFi lebih dari 200 juta dolar AS kepada beberapa mitra dagang. Di antara yang terbesar adalah pinjaman USDT sebesar 92 juta dolar AS yang jatuh tempo pada 15 Oktober, selain itu ada utang lainnya sebesar 75 juta dolar AS dan 22,4 juta dolar AS.
Jika dana yang dicuri tidak dapat segera dipulihkan, perusahaan tersebut mungkin menghadapi risiko krisis utang.
Sejarah Terulang: Kehilangan 20 Juta Token Karena Kesalahan Manusia
Perlu dicatat bahwa ini bukan pertama kalinya pembuat pasar ini mengalami kerugian akibat kesalahan manusia. Pada 9 Juni tahun ini, saat memberikan layanan likuiditas token untuk suatu proyek Layer 2, kesalahan operasional juga menyebabkan 20 juta token dicuri.
Saat itu, proyek Layer 2 mengundang pembuat pasar ini untuk menyediakan likuiditas untuk token baru yang diterbitkan. Pihak proyek memberikan hibah sementara sebanyak 20 juta token kepada pembuat pasar. Pembuat pasar memberikan alamat dompet multisig di jaringan utama Ethereum untuk menerima token. Setelah pihak proyek melakukan dua transaksi uji dan mendapatkan konfirmasi, mereka mengirimkan sisa token.
Namun, penyedia likuiditas memberikan alamat multi-tanda tangan di jaringan utama Ethereum, dan alamat tersebut belum diterapkan ke jaringan Layer 2. Karena mengendalikan multi-tanda tangan di jaringan utama tidak menjamin pengendalian di rantai kompatibel EVM lainnya, penyedia likuiditas kemudian menemukan bahwa mereka tidak dapat mengakses token-token tersebut.
Para pembuat pasar kemudian mulai memulihkan operasi, berusaha untuk menerapkan kontrak multi-tanda tangan L1 ke alamat yang sama di L2. Namun, sebelum proses ini selesai, penyerang lebih dulu menerapkan multi-tanda tangan ke L2 dan mengendalikan 20 juta token. Penyerang kemudian menjual 1 juta token.
Untungnya, keesokan harinya hacker mengembalikan 17 juta token, dan pembuat pasar berjanji untuk mengembalikan sisa 2 juta token.
Saran Perlindungan Keamanan Aset Pribadi
Mengingat lembaga sering kali mengalami kerugian besar akibat kesalahan manusia, pengguna biasa perlu lebih berhati-hati dalam melindungi aset pribadi mereka. Berikut adalah beberapa saran penting:
Hindari menggunakan alat pihak ketiga untuk membuat dompet
Selain dompet kripto asli, jangan gunakan alat pihak ketiga lainnya untuk membuat dompet. Alat pihak ketiga mungkin memiliki risiko memantau catatan pengguna dan melakukan kejahatan dengan biaya rendah. Misalnya, sebuah agregator DEX pernah memperingatkan bahwa alamat Ethereum yang dibuat dengan Profanity memiliki kerentanan keamanan, yang dapat menyebabkan pencurian aset.
Pertimbangkan untuk mengaktifkan tanda tangan ganda untuk dompet utama
Meskipun tanda tangan ganda mungkin tidak cocok untuk perdagangan frekuensi tinggi, mengaktifkan tanda tangan ganda untuk dompet utama yang menyimpan banyak aset dapat secara efektif mengurangi risiko kerugian akibat kesalahan manusia.
Jangan pernah menyalin dan menempel untuk menyimpan kunci pribadi
Kompleksitas kunci privat dapat dengan mudah mendorong pengguna untuk menyimpan dengan cara menyalin dan menempel. Namun, banyak aplikasi pihak ketiga atau plugin di perangkat mungkin memiliki izin untuk mengakses clipboard, dan keamanan jaringan nirkabel juga sulit dijamin. Bahkan jika tidak ada serangan yang terjadi sementara, mungkin saja hacker sedang menunggu lebih banyak aset masuk sebelum melakukan pencurian.
Periksa dengan cermat kontrak yang diotorisasi dan aset saat melakukan operasi on-chain
Saat menggunakan produk DeFi, pastikan untuk memverifikasi apakah nama domain situs web dan alamat kontrak di penjelajah blockchain adalah versi resmi. Ini dapat menghindari otorisasi kontrak jahat karena frontend yang diretas atau situs phishing.
Mengontrol batasan otorisasi dan segera mencabut otorisasi yang tidak diperlukan
Meskipun otorisasi tanpa batas mungkin lebih nyaman, ini meningkatkan risiko potensial. Disarankan untuk mengatur batas otorisasi sesuai dengan kebutuhan penggunaan yang sebenarnya. Untuk produk yang tidak lagi digunakan, otorisasi akses asetnya harus segera dicabut.
Berbagai penjelajah blockchain biasanya menyediakan akses untuk mencabut otorisasi, pengguna dapat secara berkala memeriksa dan membersihkan otorisasi yang tidak perlu.
Aset blockchain yang dicuri seringkali sulit untuk dipulihkan, dan dalam banyak kasus mungkin tidak dilindungi oleh hukum. Oleh karena itu, pengguna harus tetap waspada saat melakukan operasi on-chain dan mengambil semua langkah yang mungkin untuk melindungi keamanan aset mereka.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
6
Bagikan
Komentar
0/400
FlashLoanKing
· 07-24 09:41
160 juta dolar AS begitu saja melayang, sungguh menyakitkan.
Lihat AsliBalas0
NotGonnaMakeIt
· 07-23 12:15
1,6 juta target kecil begitu saja hilang?
Lihat AsliBalas0
MiningDisasterSurvivor
· 07-21 15:43
Modal tidak berpengaruh? Siapa yang tidak mengatakan demikian pada tahun 18?
Lihat AsliBalas0
FomoAnxiety
· 07-21 15:43
turun ke nol dan berbaring, tidak ada yang perlu ditakuti.
Lihat AsliBalas0
retroactive_airdrop
· 07-21 15:43
Ketika trading merasa panik, lebih baik berbaring dan memasang pemanas air.
Lihat AsliBalas0
CoffeeNFTs
· 07-21 15:33
Apakah ada ahli kerugian yang bisa memberi sedikit penjelasan?
Hindari kesalahan manusia: bagaimana melindungi keamanan aset on-chain
keamanan aset on-chain: bagaimana menghindari kerugian besar yang disebabkan oleh kesalahan manusia
Seiring dengan munculnya aplikasi blockchain seperti keuangan terdesentralisasi dan NFT, aset pengguna secara bertahap beralih dari platform terpusat ke layanan on-chain seperti dompet terdesentralisasi, jembatan lintas rantai, dan produk pinjaman. Namun, tren ini juga disertai dengan serangan peretasan yang sering terjadi dan kejadian pencurian aset, sehingga jaringan blockchain sering dijuluki sebagai "mesin pencairan peretas".
Sebagian besar dari insiden keamanan ini disebabkan oleh kerentanan kode, tetapi juga ada banyak yang disebabkan oleh faktor manusia. Pada 20 September, sebuah pembuat pasar kripto terkenal mengalami pencurian aset senilai 160 juta dolar AS, yang merupakan salah satu contoh kesalahan manusia yang tipikal.
Kerugian sebesar 1,6 juta dolar AS disebabkan oleh kesalahan optimasi biaya Gas
Setelah kejadian tersebut, pendiri perusahaan pembuat pasar tersebut menyatakan di media sosial bahwa bisnis perdagangan terpusat dan perdagangan over-the-counter perusahaan tidak terpengaruh, dan modal yang tersisa masih dua kali lipat dari utang. Ia juga menekankan bahwa dana pengguna yang memiliki perjanjian pembuatan pasar dengan perusahaan aman. Dari 90 aset yang diserang, hanya dua yang memiliki nilai nominal lebih dari 1 juta dolar, sehingga kemungkinan terjadinya penjualan besar-besaran sangat kecil.
Perusahaan keamanan blockchain Salus Security dengan cepat mengidentifikasi alamat hacker. Sumber dana dari alamat tersebut termasuk alat pencampur anonim dan penarikan besar-besaran dari beberapa platform trading.
Menurut platform analisis data blockchain tertentu, sekitar 73% dari 160 juta dolar yang dicuri adalah stablecoin, 8% adalah WBTC, dan 6% adalah ETH. Penyerang menyetor 114 juta dolar ke suatu bursa terdesentralisasi untuk menyediakan likuiditas, menjadi penyedia likuiditas terbesar ketiga di platform tersebut.
Perusahaan keamanan Slow Fog menganalisis bahwa kemungkinan penyebab pencurian adalah penggunaan dompet nomor cantik yang dibuat dengan alat Profanity (alamat dimulai dengan 0x0000000).
Hari berikutnya, pendiri pembuat pasar mengonfirmasi bahwa mereka telah menggunakan Profanity dan alat internal untuk membuat alamat dompet pada bulan Juni, dengan tujuan mengoptimalkan biaya Gas daripada mengejar nomor cantik. Setelah mengetahui adanya celah pada Profanity minggu lalu, perusahaan mempercepat pengabaian kunci lama, tetapi karena kesalahan operasional internal, mereka memanggil fungsi yang salah, yang menyebabkan tidak dapat menghapus tanda tangan dan izin eksekusi dari alamat yang terpengaruh.
Untuk pemulihan dana yang dicuri, pendiri menyatakan bahwa jika seluruhnya dikembalikan, mereka akan membayar 10% atau 16 juta dolar AS sebagai hadiah kepada peretas.
Mengenai operasi selanjutnya, pendiri menekankan bahwa meskipun celah ini berasal dari kesalahan manusia internal, perusahaan tidak akan memecat karyawan, mengubah strategi, mengumpulkan dana tambahan, atau menghentikan bisnis DeFi.
Namun, data on-chain menunjukkan bahwa perusahaan tersebut memiliki utang DeFi lebih dari 200 juta dolar AS kepada beberapa mitra dagang. Di antara yang terbesar adalah pinjaman USDT sebesar 92 juta dolar AS yang jatuh tempo pada 15 Oktober, selain itu ada utang lainnya sebesar 75 juta dolar AS dan 22,4 juta dolar AS.
Jika dana yang dicuri tidak dapat segera dipulihkan, perusahaan tersebut mungkin menghadapi risiko krisis utang.
Sejarah Terulang: Kehilangan 20 Juta Token Karena Kesalahan Manusia
Perlu dicatat bahwa ini bukan pertama kalinya pembuat pasar ini mengalami kerugian akibat kesalahan manusia. Pada 9 Juni tahun ini, saat memberikan layanan likuiditas token untuk suatu proyek Layer 2, kesalahan operasional juga menyebabkan 20 juta token dicuri.
Saat itu, proyek Layer 2 mengundang pembuat pasar ini untuk menyediakan likuiditas untuk token baru yang diterbitkan. Pihak proyek memberikan hibah sementara sebanyak 20 juta token kepada pembuat pasar. Pembuat pasar memberikan alamat dompet multisig di jaringan utama Ethereum untuk menerima token. Setelah pihak proyek melakukan dua transaksi uji dan mendapatkan konfirmasi, mereka mengirimkan sisa token.
Namun, penyedia likuiditas memberikan alamat multi-tanda tangan di jaringan utama Ethereum, dan alamat tersebut belum diterapkan ke jaringan Layer 2. Karena mengendalikan multi-tanda tangan di jaringan utama tidak menjamin pengendalian di rantai kompatibel EVM lainnya, penyedia likuiditas kemudian menemukan bahwa mereka tidak dapat mengakses token-token tersebut.
Para pembuat pasar kemudian mulai memulihkan operasi, berusaha untuk menerapkan kontrak multi-tanda tangan L1 ke alamat yang sama di L2. Namun, sebelum proses ini selesai, penyerang lebih dulu menerapkan multi-tanda tangan ke L2 dan mengendalikan 20 juta token. Penyerang kemudian menjual 1 juta token.
Untungnya, keesokan harinya hacker mengembalikan 17 juta token, dan pembuat pasar berjanji untuk mengembalikan sisa 2 juta token.
Saran Perlindungan Keamanan Aset Pribadi
Mengingat lembaga sering kali mengalami kerugian besar akibat kesalahan manusia, pengguna biasa perlu lebih berhati-hati dalam melindungi aset pribadi mereka. Berikut adalah beberapa saran penting:
Selain dompet kripto asli, jangan gunakan alat pihak ketiga lainnya untuk membuat dompet. Alat pihak ketiga mungkin memiliki risiko memantau catatan pengguna dan melakukan kejahatan dengan biaya rendah. Misalnya, sebuah agregator DEX pernah memperingatkan bahwa alamat Ethereum yang dibuat dengan Profanity memiliki kerentanan keamanan, yang dapat menyebabkan pencurian aset.
Meskipun tanda tangan ganda mungkin tidak cocok untuk perdagangan frekuensi tinggi, mengaktifkan tanda tangan ganda untuk dompet utama yang menyimpan banyak aset dapat secara efektif mengurangi risiko kerugian akibat kesalahan manusia.
Kompleksitas kunci privat dapat dengan mudah mendorong pengguna untuk menyimpan dengan cara menyalin dan menempel. Namun, banyak aplikasi pihak ketiga atau plugin di perangkat mungkin memiliki izin untuk mengakses clipboard, dan keamanan jaringan nirkabel juga sulit dijamin. Bahkan jika tidak ada serangan yang terjadi sementara, mungkin saja hacker sedang menunggu lebih banyak aset masuk sebelum melakukan pencurian.
Saat menggunakan produk DeFi, pastikan untuk memverifikasi apakah nama domain situs web dan alamat kontrak di penjelajah blockchain adalah versi resmi. Ini dapat menghindari otorisasi kontrak jahat karena frontend yang diretas atau situs phishing.
Meskipun otorisasi tanpa batas mungkin lebih nyaman, ini meningkatkan risiko potensial. Disarankan untuk mengatur batas otorisasi sesuai dengan kebutuhan penggunaan yang sebenarnya. Untuk produk yang tidak lagi digunakan, otorisasi akses asetnya harus segera dicabut.
Berbagai penjelajah blockchain biasanya menyediakan akses untuk mencabut otorisasi, pengguna dapat secara berkala memeriksa dan membersihkan otorisasi yang tidak perlu.
Aset blockchain yang dicuri seringkali sulit untuk dipulihkan, dan dalam banyak kasus mungkin tidak dilindungi oleh hukum. Oleh karena itu, pengguna harus tetap waspada saat melakukan operasi on-chain dan mengambil semua langkah yang mungkin untuk melindungi keamanan aset mereka.