Secara singkat
- Platform DeFi mengeksploitasi total $2,32 miliar sepanjang tahun ini, menurut Peckshield.
- Jembatan Blockchain telah membuktikan tautan terlemah, dengan pencurian $620 juta Ronin Network berada di puncak daftar.
- Sekitar 50% dari dana curian dicuci melalui Tornado Cash.
keuangan terdesentralisasi (DeFi ) kadang-kadang dikritik sebagai "barat liar" industri crypto. Jika $2,32 miliar yang dicuri dari berbagai protokol sepanjang tahun ini dapat digunakan sebagai gambaran akurat tentang keadaanDeFi hari ini, kemudian para kritikus tertawa terbahak-bahak.
Berdebat telah dimulai dengan peluncuranBitcoin pada tahun 2009, DeFi benar-benar lepas landas pada tahun 2020 dengan peluncuran apa yang disebut strategi investasi "pertanian hasil" Compound Finance.
Sekarang, ribuan aplikasi terdesentralisasi, atau dApps, sedang digunakan. DeFiLlamalaporan bahwa lebih dari $53,73 miliar dari total nilai terkunci di DeFi — angka yang begitu menarik sehingga menarik perhatian aktor yang tidak diinginkan — peretas.
Meretas sistem
DeFi adalah bagian dari cryptocurrency yang secara luas tetap setia pada etos dasar Bitcoin tentang desentralisasi dan privasi, mempertahankan pelepasan sinis dari pengawasan pemerintah. Namun, tidak dicentang, kebebasan seperti itudatang dengan risiko besar .
Menurut ke blockchainkeamanan perusahaan PeckShield, peretas telah mencuri lebih dari $2,32 miliar dalam lebih dari 135 eksploitasi, dari industri DeFi sepanjang tahun ini. Angka tersebut 50% lebih tinggi dari yang dicuri dari seluruh sektor sepanjang tahun 2021.
Selama bertahun-tahun, pencuri online telah menggunakan berbagai taktik untuk melakukan pekerjaan mereka. Metode serangan yang paling banyak digunakan termasuk honeypot, exit scam, exploit, access control, dan flash loan, kata theBasis Data LURUS . Berikut adalah sepuluh eksploitasi DeFi teratas tahun 2022 sejauh ini, seperti yang dikurasi oleh PeckShield.
Jaringan Ronin: Kerugian – $620 juta
Jaringan Ronin, ituEthereum sidechain berbasis untuk game crypto Axie Infinity, pada bulan Maretditipu untuk lebih dari $620 juta dalam bentuk ETH dan USDC. Penyerang "menggunakan kunci pribadi yang diretas untuk memalsukan penarikan palsu" dari kontrak jembatan Ronin dalam dua transaksi.
Eksploitasi, yang terjadi pada 23 Maret, baru ditemukan seminggu kemudian ketika satu pengguna gagal menarik 5.000 eter. Secara total, peretas menghasilkan 173.600 ETH dan 25,5 juta USDC, senilai lebih dari $620 juta pada saat itu.
Peretasan Jaringan Ronin dianggap sebagai peretasan DeFi terbesar dalam sejarah. Itu tetap yang terbesar sepanjang tahun ini, kata PeckShield.
Jembatan Lubang Cacing: Kerugian – $320 juta
Pada 2 Februari, seorang penyerangtersedot lebih dari $320 juta dalam bentuk ETH terbungkus dari protokol Wormhole, jembatan kripto lintas rantai yang populerSolana , Ethereum,Salju longsor , dan lain-lain.
Pengguna wormhole diharuskan mempertaruhkan ethereum untuk mencetak ETH yang dibungkus, sejenis crypto yang dipatok dengan harga ethereum.
Perusahaan analitik Elliptic menyalahkan eksploitasi atas kegagalan Wormhole untuk memvalidasi akun "penjaga". memungkinkan penyerang mencetak 120.000 weTH tanpa dukungan ethereum. Peretas kemudian menukar 93.750 wETH dengan ethereum dan menukar sisanya dengan Solana. Nilai total kerugian lebih dari $320 juta pada saat itu.
Jembatan Pengembara: Kerugian – $190 juta
Pada 2 Agustus, peretas menghabiskan sekitar $190 juta dalam cryptocurrency dari Nomad, alat yang memungkinkan pengguna menukar token dari satu blockchain ke blockchain lainnya.
Serangan itu dimulai dengan pemutakhiran kode Nomad. Bagian dari smart contract ditandai sebagai valid setiap kali pengguna melakukan transaksi. Ini memungkinkan aktor jahat untuk menarik lebih banyak aset daripada yang disimpan di platform. Peretas mengulangi proses tersebut hingga $190 juta dalam crypto dipindahkan dari jembatan. Nomad tidak pernah tahu sampai terlambat.
Peternakan Pohon Kacang: Kerugian $182 juta
Pada bulan April, seorang penyerang menghabiskan $182 juta crypto dari Beanstalk Farms, sebuah protokol DeFi yang bertujuan untuk menyeimbangkan penawaran dan permintaan berbagai aset crypto.
PeckShield mengatakan penyerang mengeksploitasi sistem tata kelola suara mayoritas Pohon Kacang, dan memilih untuk mengirimkan diri mereka sendiri $182 juta. Penyerang menggunakan flash loan untuk mendapatkan saham pengendali di protokol, tetapi keuntungan aktual mereka hanya sekitar $80 juta, kata perusahaan itu.
Wintermute: Kerugian $160 juta
Wintermute adalahterbaru Protokol DeFi menjadi korban peretas, yang menghasilkan $160 juta dari bagian keuangan terdesentralisasi platform. CEO, Evgeny Gaevoy mengatakan peretasan itu terkait dengan bug kritis dalam alat penghasil alamat Ethereum vanity, Profanity.
Dia mengatakan Wintermute menggunakan alat tersebut untuk menghasilkan alamat unik guna memangkas biaya transaksi, tidak pernah untuk "kesia-siaan". Kesalahan manusia tampaknya berada di balik serangan khusus ini.
Elrond: Kerugian – $113 juta
Pada bulan Juni, peretas mengeksploitasi celah pada pertukaran terdesentralisasi Maiar untuk mencuri sekitar 1,65 juta elrond egold (EGLD), token asli dari blockchain Elrond. Para peneliti mengatakan penyerang menggunakan kontrak cerdas dan menggunakan tiga dompet untuk mencuri EGLD senilai $113 juta dari bursa.
Peretas segera menjual 800.000 token seharga $54 juta pada DEX yang sama, dan sisanya dijual di bursa terpusat atau ditukar dengan ethereum.
Horizon Bridge: Kerugian – $100 juta
Hanya beberapa hari setelah eksploitasi Elrond, peretas menyerang lagi pada 23 Juni.memukul jembatan Horizon untuk hampir $100 juta. Horizon adalah platform interoperabilitas lintas rantai antara Ethereum,Binance Jaringan blockchain Smart Chain dan Harmony.
PeckShield mengungkapkan lebih dari $98 juta dalam berbagai token telah terkuras dari platform yang dikelola Harmony dan ditukar dengan ether. Lebih dari 50.000 dompet pengguna terpengaruh. Para peretas kemudian memindahkan $35 juta melalui Tornado Cash.
Qubit Finance: Kerugian – $80 juta
Protokol DeFidikatakan pada 28 Januari bahwa itu telah dieksploitasi oleh penyerang yang mencuri 206.809 koin binance (BNB) dari protokol QBridge-nya. Secara total, token bernilai $80 juta.
Menurut perusahaan keamanan Certik, penyerang memanfaatkan opsi setoran dalam kontrak QBridge untuk mencetak 77.162 qXETH – semacam crypto yang digunakan untuk mewakili ethereum yang dijembatani melalui Qubit. Penyerang membodohi platform agar percaya bahwa mereka melakukan deposit. Setelah mengulangi proses tersebut berkali-kali, mereka menukar aset tersebut menjadi BNB dan menghilang.
Cashio: Kerugian – $48 juta
Cashio, astablecoin protokol di Solana, mengalami apa yang oleh tim disebut sebagai eksploitasi "kesalahan mint tak terbatas" pada bulan Maret. Peretastersedot $48 juta dari protokol, mendorong runtuhnya stablecoin CASH Cashio.
Cashio memungkinkan pengguna untuk mencetak stablecoin CASH dengan semua simpanan yang didukung oleh token penyedia likuiditas berbunga. Penyerang mencetak miliaran UANG TUNAI dan menukarnya dengan USDC dan UST, itu sendiri runtuh, sebelum menarik diri melalui DEX Sabre.
TUNAI yang dipatok dolar jatuh ke $0 setelah peretasan. Penyerangdikembalikan uang ke rekening yang memiliki kurang dari $100.000 dan dijanjikanmenyumbangkan sisanya untuk amal. Itu yang terakhir kami dengar, jarahan Cashio. KAS sudah mati.
Scream: Rugi – $38 juta
Platform peminjaman berbasis Fantom, Screammenderita mungkin salah satu eksploitasi paling ceroboh di DeFi tahun ini, dari perspektif keamanan protokol. Scream mengambil utang $38 juta setelah stablecoin,Hantu USD (fUSD) dan DEI, yang nilainya tetap menjadi $1, kehilangan patok.
Karena protokol telah meng-hardcode nilai kedua stablecoin, penurunan nilai aset tidak terlihat di Scream. Paus memanfaatkan celah ini untuk menguras protokol stablecoin berharga lainnya sambil menyimpan fUSD dan DEI yang dipatok.
Sebanyak $38 juta dalam bentuk stablecoin FRAX, USDT, USDC, dan MIM diambil dari jaringan. Setelah kejadian itu, Scream membuang harga hardcore dan beralih keRantai oracle untuk data harga real-time. Paus menyimpan jarahan mereka. Hari pembayaran yang bagus untuk degen!.
Apa yang terjadi dengan miliaran yang dicuri?
Yah, itu hilang. Sebagian besar secara permanen.
PeckShield mengatakan sekitar 50%, atau $1,16 miliar, dari uang yang dicuri dari protokol di atas dicuci melalui Tornado Cash, pencampur cryptocurrency berbasis Ethereum yang disetujui oleh pemerintah AS pada bulan Agustus, memicu reaksi keras dari komunitas crypto.
Tornado Cash memungkinkan pengguna crypto untuk mengaburkan riwayat transaksi keuangan mereka, membuatnya lebih sulit untuk dilacak. Menurut agen keamanan AS FBI, mixer tersebut telah dimanfaatkan oleh orang-orang seperti kelompok peretas yang terkait dengan Korea Utara, Lazarus, untuk mencuci kripto lebih dari $7 miliar sejak 2019.
Sementara peretas menghilang dengan miliaran, protokol DeFi yang terpengaruh melakukan serangkaian upaya untuk mendapatkan kembali uang mereka, dengan sedikit keberhasilan. Salah satu cara untuk melakukannya adalah dengan memohon kepada penyerang untuk mengembalikan jarahan yang didapat dengan imbalan semacam insentif. Atau tidak sama sekali.
Qubit Finance mencobanya dan menawarkan hadiah $2 juta, jumlah maksimum yang dapat ditawarkannya untuk apa yang disebut permohonan peretasan putih. Itu tidak berhasil. Harmoni juga memainkan ide yang sama. Itu menawarkanhadiah $1 juta untuk pengembalian $100 juta yang dicuri dari jembatan Horizon dan berjanji untuk tidak mengajukan tuntutan pidana. Peretas mengabaikan panggilan itu. Tidak ada yang dipulihkan.
Namun, strategi serupa berhasil untuk Poly Network pada Agustus 2021, dengan penyerang mengembalikan sebagian besar $600 juta yang telah mereka curi.
Keberuntungan itu meluas ke Ronin. Awal bulan ini, jaringanpulih $30 juta dari uang yang hilang, dengan bantuan dari perusahaan keamanan crypto Chainalysis, Departemen Keuangan AS, dan FBI. Tapi itu hanya 5% dari $620 juta yang dicuri selama peretasan. FBI memperkirakan bahwa sekitar $455 juta telah dicuci melalui Tornado Cash oleh Grup Lazarus, tersangka penyerang.
Peretas Nomad Bridge juga mengirim kembali $9 juta ke platform sehari setelah jembatan lintas rantai dieksploitasi sebesar $190,4 juta. Setelah hadiah 10% untuk setiap dana yang dikembalikan, peretas kulit putih meretas kembali $ 32 juta dari total yang dijarah dan mengembalikannya ke jembatan lintas rantai. Sisanya, sebagian besar, diacak di antara alamat yang berbeda oleh peretas, saat mereka berusaha mati-matian untuk mempertahankan kekayaan curian mereka. Mereka lakukan.
Wormhole tidak pernah mendapatkan kembali $320 juta miliknya. Itu harus diselamatkan. Jump Trading Group, yang memiliki andil dalam protokol, terjun untuk menggantikan 120.000 ETH yang dicuri, setelah kerentanannya diperbaiki.
Bagaimana agar tidak diretas
Jelas, jembatan blockchain tampaknya menjadi yang terlemahtautan di DeFi. Ada cara bagi individu dan protokol untuk tetap aman.
“Penting untuk menyusun kerangka acuan yang jelas saat mengembangkan proyek, mencakup fungsionalitas proyek dengan pengujian sebanyak mungkin untuk menghindari kesalahan logis,” kata Alex Belets, pendiri firma keamanan blockchain Smart State, kepada Be[In]Crypto.
“Gunakan pemindai kerentanan otomatis, jangan mencoba menerapkan hal-hal yang perpustakaannya ada. Lakukan audit dan simpan kunci pribadi Anda dengan aman. Jangan gunakan aplikasi pihak ketiga seperti senonoh untuk menghasilkan kunci pribadi (alasan peretasan Wintermute),” tambahnya.
Penafian
Semua informasi yang terdapat di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.