Peretasan KelpDAO mengungkap titik lemah dalam keamanan Web3

Peretasan KelpDAO menunjukkan beberapa garis lemah dalam keamanan Web3. Masalah terbesar adalah blockchain yang mengeksekusi transaksi tanpa cela berdasarkan data yang cacat.

Keamanan Web3 masih menjadi prioritas utama, sebagai cara membangun kembali kepercayaan dalam protokol DeFi. Peretasan KelpDAO memiliki dampak jangka panjang bagi pinjaman DeFi dan menimbulkan isu tentang peningkatan keamanan Web3.

Peretasan DeFi mencapai puncaknya dalam satu tahun pada bulan April, membuka diskusi tentang risiko Web3 dan cara yang lebih baik untuk mencegah peretasan. | Sumber: DeFiLlama.

Gelombang peretasan terbaru pada bulan April mungkin membuat aplikasi meninjau kembali cara mereka mengakses data dan mengizinkan transaksi. Peretasan serupa berlanjut di bulan Mei, dengan $930K hilang selama bulan ini hingga saat ini. Baru-baru ini, Bisq Protocol kehilangan $858K berdasarkan logika protokol yang cacat dan serangan klien palsu, menurut data DeFiLlama.

Aplikasi Web3 memiliki masalah verifikasi data

Menurut Victor Fei dari Ormilabs, peretasan KelpDAO adalah contoh jelas bagaimana sebuah aplikasi dapat terus berfungsi, bahkan jika status blockchain tidak sesuai dengan data.

Fei menjelaskan bahwa aplikasi tidak selalu merujuk langsung ke blockchain. Sebaliknya, mereka bergantung pada perantara seperti node RPC, bukan data on-chain mentah. Ini adalah persyaratan untuk Ethereum dan rantai yang lebih tua lainnya, yang tidak lagi layak diakses secara langsung oleh sebagian besar aplikasi.

Dengan sumber data yang terbatas, sebuah jembatan hanya dapat bergantung pada sejumlah kecil node RPC. Ketika beberapa sumber dikompromikan atau tidak tersedia, aplikasi mungkin beroperasi dengan data yang buruk, sementara rantai dasar tetap menganggap transaksi tersebut valid.

Sebagian besar aplikasi Web3 modern tidak mengakses rantai secara langsung, tetapi bergantung pada beberapa bentuk pengindeksan untuk mengambil informasi relevan. Pengindeksan ini dapat menampilkan data yang cacat atau menjadi vektor serangan langsung.

Eksploitasi KelpDAO mengungkapkan kerentanan ini secara lengkap. Proses verifikasi mempercayai sejumlah kecil sumber RPC, dan penyerang menyusup ke beberapa sumber tersebut. Dengan lapisan data yang cacat, blockchain memproses transaksi seperti biasa dan menghabiskan koin nyata sebagai imbalan saldo palsu.

Masalah ini menjadi lebih serius jika agen AI diizinkan bertindak berdasarkan lapisan data yang terbatas dan berpotensi cacat.

Apa yang dapat meningkatkan keamanan Web3?

Kelemahan terbesar dalam KelpDAO, Drift Protocol, dan peretasan terbaru lainnya adalah kecepatan eksekusi. Sebagian besar transaksi terjadi secara langsung dan diselesaikan dalam blok berikutnya, tanpa periode pendinginan atau pemeriksaan tambahan. Web3 mempromosikan kemampuannya untuk transaksi cepat tanpa izin, tetapi ini juga memungkinkan pelaku jahat mengeksekusi perampokan mereka dengan cepat.

“Masa depan keamanan Web3 bergantung pada kecepatan. Data kami menunjukkan bahwa peretasan dan pencucian uang cepat dan murah, sementara respons tim lambat dan mahal,” komentar Vladyslav Syrotin, Kepala Investigasi di Global Ledger kepada Cryptopolitan.

Syrotin percaya bahwa proyek Web3 harus menurunkan waktu deteksi mereka untuk menangkap aliran keluar yang tidak biasa, penurunan likuiditas mendadak, atau panggilan kontrak pintar yang mencurigakan.

Menurut Syrotin, peringatan dan blok harus otomatis dalam satu detik setelah serangan, dan laporan korban serta pelabelan data harus siap dalam 10 menit. Saat ini, dibutuhkan berjam-jam atau berhari-hari untuk menghitung total kerugian dan melacak kluster dompet para penyerang.

Syrotin menambahkan bahwa bahkan kerangka waktu yang lebih lambat, dengan peringatan 30 detik dan pelabelan dalam empat jam, dapat membantu mencegah sekitar setengah dari insiden dan mengurangi kerugian.

Jangan hanya membaca berita crypto. Pahami itu. Berlangganan newsletter kami. Gratis.