Menurut laporan keamanan industri Web3 terbaru dari Gate Research, total 27 insiden keamanan terjadi pada bulan Desember, menyebabkan kerugian sekitar $4,11 juta. Jenis insiden tersebut beragam, dengan kerentanan kontrak tetap menjadi ancaman utama, menyumbang 72% dari total kerugian. Laporan ini juga memberikan analisis mendalam tentang peristiwa keamanan kunci, termasuk kerentanan FEG, kerentanan kontrak Clober, kerentanan kontrak Clipper DEX, dan serangan pinjaman kilat HarryPotterObamaSonic10Inu. Kerentanan kontrak dan peretasan akun diidentifikasi sebagai risiko keamanan utama untuk bulan itu, menyoroti perlunya terus-menerus bagi industri untuk memperkuat langkah-langkah keamanannya.

Poin Penting

• Pada Desember 2024, industri Web3 mengalami 27 insiden keamanan, yang mengakibatkan kerugian sekitar $4,11 juta, penurunan signifikan dibanding bulan sebelumnya.
• Insiden keamanan bulan ini terutama melibatkan kerentanan kontrak dan peretasan akun.
• Kerentanan kontrak tetap menjadi ancaman utama, menyumbang 72% dari total kerugian dalam insiden keamanan industri cryptocurrency.
• Sebagian besar kerugian terjadi di sebagian besar blockchain utama, termasuk BSC, Ethereum, Cardano, dan Base.
• Kejadian penting bulan ini termasuk kerentanan keamanan FEG (kerugian $1 juta), kerentanan kontrak Clober (kerugian $500.000), kerentanan kontrak Vestra DAO (kerugian $500.000), pembobolan akun Moonhacker (kerugian $320.000), dan serangan flash loan HarryPotterObamaSonic10Inu (kerugian $243.000).

Ikhtisar Insiden Keamanan

Menurut data dari Slowmist, Desember 2024 menyaksikan total 27 kejadian peretasan, yang mengakibatkan kerugian sebesar $4.11 juta. Serangan tersebut terutama melibatkan kerentanan kontrak, peretasan akun, dan metode lainnya. Dibandingkan dengan bulan November, baik jumlah kejadian maupun kerugian total mengalami penurunan signifikan, menunjukkan bahwa langkah-langkah keamanan industri dan kesadaran telah meningkat. Kerentanan kontrak tetap menjadi penyebab utama serangan, dengan sembilan kejadian yang menyumbang lebih dari $2.98 juta kerugian, atau 72% dari total. Akun resmi X dan situs web proyek cryptocurrency terus menjadi target utama peretas [1].

Distribusi insiden keamanan bulan ini di seluruh blockchain publik mengungkapkan bahwa sebagian besar kerugian terjadi pada beberapa blockchain matang dan populer, terutama Ethereum dan Base, dengan kerugian masing-masing sebesar $2,01 juta dan $950.000. Ini menunjukkan bahwa meskipun keamanan dasar blockchain publik yang kuat, kerentanan pada lapisan aplikasi dan kontrak pintar masih menimbulkan risiko yang signifikan bagi dana pengguna.

Beberapa proyek blockchain mengalami insiden keamanan besar-besaran bulan ini, yang mengakibatkan kerugian finansial yang signifikan. Insiden terkemuka termasuk kerentanan keamanan FEG, yang menyebabkan kerugian sebesar $1 juta; kerentanan kontrak Clober, yang menyebabkan kerugian sebesar $500,000; kerentanan kontrak Vestra DAO, yang mengakibatkan kerugian sebesar $500,000; dan kerentanan kontrak Clipper DEX, yang menyebabkan kerugian sebesar $457,000.

Insiden Keamanan Utama pada Bulan Desember

Menurut pengungkapan resmi, proyek-proyek berikut mengalami kerugian melebihi $3,22 juta pada bulan Desember. Kejadian-kejadian ini menggarisbawahi bahwa kerentanan kontrak terus menjadi ancaman yang signifikan.

• Penyerang mengeksploitasi kerentanan dalam kontrak pintar yang digunakan oleh Clipper, memanipulasi fungsi deposit/penarikan aset tunggal. Operasi ini berdampak pada kolam likuiditas di jaringan Optimism dan Base, menyebabkan ketidakseimbangan dalam aset kolam dan memungkinkan penyerang menarik lebih dari jumlah yang mereka depositkan. Serangan tersebut mengakibatkan kerugian sekitar $457,878.
• Vestra DAO mengumumkan bahwa seorang peretas menggunakan celah dalam kontrak penguncian staking, memanipulasi mekanisme hadiah untuk mendapatkan hadiah yang berlebihan melebihi yang seharusnya. Insiden ini mengakibatkan pencurian 73.720.000 token VSTR. Token yang dicuri secara bertahap dijual di Uniswap, menyebabkan kerugian likuiditas sekitar $500.000 dalam bentuk ETH. Untuk melindungi tokenomik VSTR dan stabilitas proyek, 755.631.188 token VSTR yang tersisa dihapus secara permanen dari peredaran.
• Vault likuiditas di Clober DEX, yang dibangun di Base Network, diserang, mengakibatkan kerugian sebesar 133,7 ETH (sekitar $501.000). Tim juga menawarkan 20% dari dana yang dicuri sebagai hadiah untuk mengidentifikasi kerentanan, dengan harapan dapat memulihkan aset yang tersisa. Namun, negosiasi tidak mencapai konsensus.
• HarryPotterObamaSonic10Inu menjadi target serangan pinjaman kilat di Ethereum, melibatkan serangkaian perdagangan yang memanfaatkan likuiditas dari token HarryPotterObamaSonic10Inu 2.0. Penyerang menghasilkan keuntungan sekitar $243.000 dan menyetor dana tersebut ke Tornado Cash.
• Proyek FEG mengalami serangan kerentanan keamanan, yang mengakibatkan kerugian sekitar $1 juta. Analisis menunjukkan bahwa penyebab utamanya adalah masalah komposabilitas saat mengintegrasikan dengan jembatan antar rantai Wormhole yang mendasarinya, yang digunakan untuk pesan dan transfer token antar rantai. Tim telah menangguhkan semua transaksi FEG di bursa terpusat, dan protokol SmartDeFi juga telah dijeda.

Clipper DEX

Gambaran Proyek: Clipper adalah pertukaran terdesentralisasi (DEX) yang dirancang untuk menyediakan harga terbaik bagi pedagang mata uang kripto kecil (kurang dari $10.000). Hal ini dicapai dengan membatasi likuiditas dan mengurangi kerugian sementara.

Ikhtisar Kejadian: Menurut laporan analisis yang dirilis oleh Clipper, pada tanggal 1 Desember 2024, penyerang mengeksploitasi kerentanan dalam kontrak pintar yang digunakan oleh Clipper, memanipulasi fungsi deposit/penarikan aset tunggal. Operasi ini mempengaruhi kolam likuiditas pada jaringan Optimism dan Base, menyebabkan ketidakseimbangan dalam aset kolam dan memungkinkan penyerang menarik lebih banyak aset daripada yang mereka depositkan. Serangan tersebut mengakibatkan kerugian sekitar $457,878.

Dalam beberapa jam, AdmiralDAO meluncurkan rencana respons darurat, dengan cepat mengambil langkah-langkah untuk melindungi dana yang tersisa dalam protokol dan menghentikan serangan. Setelah respons, tidak ada dana tambahan yang terpengaruh[2].

Rekomendasi Pasca-Insiden:

• Perluas Pemeriksaan Invariant: Implementasikan verifikasi on-chain untuk memastikan bahwa invarian dari pool tetap konsisten selama penarikan aset tunggal, mirip dengan pemeriksaan yang diterapkan oleh Clipper dalam versi terbaru kontrak mereka untuk pertukaran.
• Perluas Verifikasi Harga Oracle: Integrasikan oracle harga on-chain ke dalam validasi nilai aset untuk deposit dan penarikan, seperti yang telah dilakukan oleh Clipper dalam versi terbaru kontrak mereka untuk pertukaran.
• Pertimbangkan Kunci Jangka Pendek dari Deposit: Jika deposito baru tunduk pada periode kunci yang melebihi validitas tanda tangan deposit (misalnya, beberapa menit), serangan ini tidak mungkin terjadi.

Vestra DAO

Ikhtisar Proyek: VSTR adalah token yang dikembangkan oleh komunitas NFT "CMLE" (Edisi Terbatas Monster Kripto) yang menawarkan layanan hibrida semi terdesentralisasi, Web2+Web3. Ini beroperasi sebagai proyek organisasi otonom terdesentralisasi (DAO), menyediakan solusi DeFi.

Ikhtisar Kejadian: Pada tanggal 4 Desember 2024, Vestra DAO mengumumkan melalui tweet bahwa seorang peretas berhasil memanfaatkan kerentanan dalam kontrak staking terkunci, memanipulasi mekanisme imbalan untuk mendapatkan imbalan berlebihan melebihi yang seharusnya. Kejadian ini mengakibatkan pencurian total 73.720.000 token VSTR. Token yang dicuri secara bertahap dijual di Uniswap, sehingga mengakibatkan kerugian sekitar $500.000 dalam likuiditas ETH.

Tim dengan cepat mengidentifikasi masalah dan segera bertindak dengan memasukkan kontrak penyetakan yang terkunci ke daftar hitam, sehingga menonaktifkan interaksi lebih lanjut dengan kontrak-kontrak ini. Akibatnya, 755.631.188 token VSTR di dalam kolam penyetakan diambil dari peredaran, dan dana dalam kontrak-kontrak ini tidak dapat ditarik lagi. Pada tanggal 6 Desember, tim mengumumkan bahwa untuk melindungi ekonomi token VSTR dan stabilitas proyek, 755.631.188 token VSTR yang tersisa akan dihapus secara permanen dari peredaran [3].

Rekomendasi Pasca-Insiden:

• Melakukan Audit Keamanan Kontrak Komprehensif dan Optimisasi
  Merekrut perusahaan audit keamanan pihak ketiga yang terpercaya untuk secara menyeluruh meninjau semua kontrak pintar, terutama kontrak penyetakan dan terkunci. Fokus harus pada manajemen izin, penanganan kondisi batas, dan keamanan logika kode. Setelah audit, kode kontrak harus dioptimalkan berdasarkan rekomendasi, dan laporan audit harus dibuat tersedia untuk meningkatkan transparansi dan kepercayaan pengguna.

• Implementasi Mekanisme Perlindungan Multi-lapisan dan Pemantauan Real-Time

• Menerapkan Fungsi Timelock: Memperkenalkan penundaan waktu untuk operasi kunci untuk memastikan bahwa ada waktu yang cukup untuk menjeda operasi atau campur tangan dalam kejadian anomali.
• Memperkenalkan Sistem Pemantauan dan Peringatan Real-Time: Gunakan analisis data on-chain untuk mendeteksi perilaku perdagangan atau interaksi kontrak yang abnormal secara real-time, dan terapkan sistem peringatan untuk memberi tahu aktivitas yang mencurigakan, meminimalkan potensi kerugian yang disebabkan oleh kerentanan.

Clober DEX

Gambaran Proyek: Clober adalah DEX buku pesanan yang sepenuhnya on-chain yang memungkinkan pencocokan pesanan dan penyelesaian on-chain pada platform kontrak pintar terdesentralisasi. Dengan Clober, peserta pasar dapat menempatkan pesanan limit dan pasar sepenuhnya terdesentralisasi dan bebas kepercayaan dengan biaya yang terjangkau.

Ikhtisar Insiden:
Pada tanggal 10 Desember 2024, brankas likuiditas Clober DEX di Base Network diserang, mengakibatkan kerugian sebesar 133,7 ETH (sekitar $501.000). Akar penyebab serangan adalah kerentanan reentransi dalam fungsi _burn() dalam kontrak Rebalancer.

Tim menawarkan 20% dari dana yang dicuri sebagai hadiah untuk mengidentifikasi kerentanan keamanan, dengan syarat bahwa aset yang tersisa dapat dikembalikan. Selain itu, tim menjamin bahwa tidak akan ada tindakan hukum jika penyerang bersedia bekerja sama. Pada tanggal 31 Desember 2024, tim menyatakan bahwa negosiasi belum mencapai konsensus, dan penyerang telah memindahkan aset yang dicuri ke Tornado Cash. Tim bekerja sama dengan lembaga penegak hukum untuk melacak asal-usul penyerang[4].

Rekomendasi Pasca-Insiden:

• Peningkatan Keamanan Kontrak Pintar: Tim proyek harus memperkuat tinjauan keamanan kontrak pintar. Semua kode harus melewati audit yang ketat sebelum diterapkan, dengan pemindaian kerentanan rutin untuk mengurangi risiko serangan.
• Strategi Manajemen Dana yang Tangguh: Terapkan dompet multi-tanda tangan dan sistem penyimpanan dana berlapis untuk mencegah konsentrasi aset yang berlebihan dalam satu kontrak, sehingga mengurangi potensi kerugian dalam kasus serangan.
• Kerja Sama dengan Organisasi Keamanan: Kerja sama cepat dengan tim keamanan blockchain dan lembaga penegak hukum dapat secara efektif mengendalikan kerusakan dan mempercepat pemulihan aset setelah sebuah insiden.

HarryPotterObamaSonic10Inu

Gambaran Proyek: HarryPotterObamaSonic10Inu adalah bentuk utama dari aset kripto. Terinspirasi oleh BITCOIN, proyek ini mendorong penciptaan konten meme yang baru dan menyenangkan. Dengan kepemilikan yang dikembalikan dan likuiditas terkunci, komunitas yang terus berkembang telah mengambil alih. Mengambil inspirasi dari meme Bitcoin yang legendaris, proyek ini sedang mengembangkan situs web unik, barang dagangan eksklusif, dan platform e-commerce. Tujuannya adalah menciptakan ekosistem di mana anggota komunitas aktif dapat berinteraksi dan berkolaborasi.

Ikhtisar Insiden:
Pada 18 Desember 2024, serangkaian transaksi eksploitasi menargetkan kolam likuiditas token HarryPotterObamaSonic10Inu 2.0 di jaringan Ethereum. Penyerang memperoleh keuntungan sekitar $243.000 dan mentransfer dana ke Tornado Cash.

Selama empat hari berikutnya, harga token mengalami penurunan signifikan sekitar -33,42%, dengan kapitalisasi pasarnya turun dari $245 juta menjadi $168 juta[5]. \

Rekomendasi Pasca-Insiden:

• Meningkatkan Audit Keamanan dan Optimasi Kontrak Pintar
  Melibatkan organisasi profesional pihak ketiga untuk melakukan audit keamanan komprehensif terhadap kontrak pintar yang ada, dengan fokus pada logika kolam likuiditas dan kontrol akses. Kerentanan harus diperbaiki, dan kode kontrak harus dioptimalkan. Mekanisme seperti time-lock dan rate-limiting harus ditambahkan untuk mencegah operasi jahat dalam jangka waktu singkat.

• Integrasi Orakel Harga On-Chain
  Mengintegrasikan orakel on-chain yang dapat diandalkan untuk memverifikasi harga aset selama transaksi deposit dan penarikan, memastikan bahwa operasi sesuai dengan nilai pasar aktual dan mencegah dana dari dimanipulasi melalui manipulasi harga.

• Meningkatkan Transparansi dan Kepercayaan Komunitas
  Terbitkan hasil investigasi insiden dan rencana perbaikan, memastikan transparansi informasi dan membangun kepercayaan dalam komunitas pengguna.

FEG

Token FEG adalah token tata kelola deflasi dalam ekosistem FEG, yang mencakup pertukaran terdesentralisasi dan mekanisme insentif pendapatan pasif. Tujuannya adalah untuk mengubah model operasional jaringan perdagangan terdesentralisasi. Token ini tersedia di jaringan Ethereum dan Binance Smart Chain.

Gambaran Kejadian:
Pada 29 Desember 2024, proyek FEG menjadi target serangan kerentanan keamanan, yang mengakibatkan kerugian sekitar $1 juta. Penyebab akar insiden ini tampaknya adalah masalah komposabilitas yang terkait dengan integrasi jembatan lintas rantai Wormhole yang mendasari, yang memfasilitasi pesan lintas rantai dan transfer token. Yayasan Wormhole kemudian menjelaskan bahwa tidak ada isu yang ditemukan dalam protokol Wormhole, dan serangan tersebut tidak terkait dengan Wormhole.

Setelah insiden tersebut, tim menghentikan semua transaksi FEG di bursa terpusat dan memulai penyelidikan menyeluruh. Meskipun kode kontrak SmartDeFi tidak terpengaruh secara langsung, protokol SmartDeFi juga dijeda sebagai tindakan pencegahan. Namun, semua proyek di protokol tersebut tetap aman sampai saat ini[6].

Rekomendasi Pasca-Kejadian:

• Melakukan Audit Keamanan Komprehensif: Melibatkan organisasi profesional pihak ketiga untuk melakukan audit keamanan menyeluruh pada kontrak pintar dan kode platform, dengan fokus pada kontrol akses, kelemahan logika, dan kerentanan kode. Berdasarkan hasil audit, segera atasi dan perbaiki semua masalah yang teridentifikasi, dan buat laporan audit menjadi publik untuk meningkatkan kepercayaan pengguna.
• Mendirikan Program Pengungkapan Kerentanan dan Penghargaan: Meluncurkan program bug bounty yang berkelanjutan untuk mendorong para peneliti keamanan dan peretas etis untuk mengidentifikasi dan melaporkan kerentanan potensial. Ini akan membantu dalam menangani kerentanan dengan cepat untuk mengurangi risiko keamanan di masa depan.
• Perkuat Mekanisme Perlindungan Aset dan Kompensasi Pengguna: Kembangkan sistem perlindungan aset berlapis-lapis, seperti pemantauan transaksi yang tidak normal secara real-time, menerapkan fitur time-lock, dan menggunakan dompet multi-tanda tangan. Untuk pengguna yang terkena dampak, tetapkan rencana kompensasi yang adil dan transparan untuk mengembalikan kepercayaan pengguna dan meminimalkan kerugian keuangan.

Kesimpulan

Pada Desember 2024, beberapa proyek DeFi menjadi target kerentanan keamanan, yang mengakibatkan kerugian jutaan dolar aset. Kejadian-kejadian ini termasuk serangan Clober DEX pada vault likuiditas, eksploitasi cross-chain yang disebabkan oleh integrasi FEG dengan Wormhole, kerentanan staking di Vestra DAO, manipulasi fitur penarikan aset tunggal Clipper DEX, dan serangan pinjaman kilat pada HarryPotterObamaSonic10Inu. Peristiwa-peristiwa ini menyoroti risiko-risiko kritis dalam keamanan kontrak pintar, komposabilitas protokol cross-chain, dan manajemen kolam likuiditas. Industri dengan mendesak perlu memperkuat audit kontrak pintar, menerapkan pemantauan real-time, dan mengadopsi mekanisme perlindungan multi-lapisan untuk meningkatkan keamanan platform dan kepercayaan pengguna. Gate.io mengingatkan pengguna untuk tetap memperbarui perkembangan keamanan, memilih platform yang dapat diandalkan, dan meningkatkan perlindungan aset pribadi.


Referensi:

1. Slowmist,https://hacked.slowmist.io/id/statistics
2. Clipper,https://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

Penelitian Gate
Gate Research adalah platform penelitian blockchain dan kripto yang komprehensif, menyediakan pembaca dengan konten yang mendalam, termasuk analisis teknis, wawasan terbaru, ulasan pasar, penelitian industri, perkiraan tren, dan analisis kebijakan makroekonomi.

Klik tombolTautanuntuk belajar lebih lanjut

Penyangkalan
Investasi di pasar mata uang kripto melibatkan risiko tinggi, dan disarankan bagi pengguna untuk melakukan penelitian independen dan sepenuhnya memahami sifat aset dan produk yang mereka...pembeliansebelum membuat keputusan investasi apa pun.Gate.iotidak bertanggung jawab atas kerugian atau kerusakan yang disebabkan oleh keputusan investasi tersebut.