Tinjauan Insiden Serangan Jembatan Lintas Rantai: Hampir 2 Miliar Dolar Aset Terpengaruh, Lebih dari 1,5 Miliar Dolar Telah Dipulihkan atau Dibayar Ganti Rugi

Dalam beberapa tahun terakhir, jembatan cross-chain telah menjadi target penting serangan hacker. Karena banyak blockchain publik baru yang kekurangan aset mainstream, mereka perlu mendapatkan dana melalui jembatan cross-chain dari blockchain publik matang seperti Ethereum, yang menjadikan jembatan cross-chain sebagai proyek yang membutuhkan banyak dana. Namun, insiden keamanan yang sering terjadi juga menyoroti kerentanan jembatan cross-chain. Artikel ini akan meninjau sepuluh insiden serangan jembatan cross-chain besar yang terjadi dalam beberapa tahun terakhir dan merangkum pengalaman serta pelajaran yang didapat.

ChainSwap: Kerugian $8 juta, diselesaikan melalui penerbitan ulang token

Pada bulan Juli 2021, ChainSwap mengalami dua serangan hacker, yang menyebabkan kerugian sekitar 8 juta dolar AS. Lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain terpengaruh. Investigasi menunjukkan bahwa para penyerang memanfaatkan celah dalam protokol dalam memverifikasi keabsahan tanda tangan. Karena kerugian terutama melibatkan token tata kelola, beberapa proyek memilih untuk melakukan snapshot dan menerbitkan token baru untuk mengkompensasi pengguna yang terkena dampak.

Poly Network: 6,1 juta USD dicuri, seluruhnya berhasil dipulihkan

Pada bulan Agustus 2021, Poly Network mengalami serangan besar-besaran yang melibatkan jumlah hingga 610 juta USD. Penyerang memanfaatkan celah dalam logika manajemen hak akses kontrak, berhasil mengubah alamat validator di rantai target. Meskipun metode serangan sangat canggih, peretas akhirnya mengembalikan semua dana. Poly Network kemudian menyebut peretas ini sebagai "topi putih" dan mengundangnya untuk menjabat sebagai penasihat keamanan utama perusahaan.

Multichain: 600 juta dolar AS terpengaruh, sebagian sudah dibayar

Pada Januari 2022, Multichain menemukan celah penting yang mempengaruhi berbagai token. Meskipun celah tersebut telah diperbaiki tepat waktu, sekitar 6 juta dolar aset masih dicuri. Penyebabnya adalah kontrak tidak memeriksa dengan benar keabsahan token yang dimasukkan oleh pengguna. Tim Multichain telah memulihkan hampir 50% dari dana yang dicuri, dan telah mengajukan rencana kompensasi.

QBridge: Kerugian 80 juta dolar, hanya mengganti 2%

Pada akhir Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar AS. Penyerang memanfaatkan celah dalam QBridge saat memproses token yang ada di daftar putih, berhasil mencetak sejumlah besar token xETH palsu di BSC. Saat ini, sebagian besar dana yang dicuri belum dikompensasi.

Meter.io: $4.4 juta dicuri, berjanji akan mengganti dengan pendapatan masa depan

Pada bulan Februari 2022, jembatan lintas rantai Meter Passport diserang, mengakibatkan kerugian sebesar 4,4 juta dolar. Masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber asli Meter yang diperluas. Pihak proyek berjanji untuk menerbitkan token baru PASS sebagai kompensasi dan akan menggunakan pendapatan di masa depan untuk membeli kembali token-token ini.

Ronin: $620 juta dicuri, telah dibayar penuh

Pada Maret 2022, rantai Ronin yang mendukung Axie Infinity mengalami insiden keamanan besar, dengan kerugian sekitar 620 juta dolar. Penyerang mendapatkan akses ke sistem kunci melalui teknik rekayasa sosial. Meskipun dana yang dicuri tidak dapat dipulihkan, tim pengembang Sky Mavis mengumpulkan 150 juta dolar melalui putaran pendanaan baru untuk mengganti kerugian pengguna.

Wormhole: Kerugian sebesar 3,26 juta USD, telah dibayar

Pada bulan Februari 2022, protokol cross-chain Wormhole diserang, mengakibatkan kerugian sekitar 326 juta dolar AS. Penyerang memanfaatkan celah verifikasi tanda tangan dalam kontrak di sisi Solana. Perusahaan induk pengembang, Jump Crypto, dengan cepat menyuntikkan dana yang setara untuk mengembalikan Wormhole ke operasi normal.

EvoDeFi: Diperkirakan mengalami kerugian lebih dari sepuluh juta dolar, belum ditangani

Pada bulan Juni 2022, DEX ValleySwap dalam ekosistem Oasis mengalami fenomena USDT yang sangat terlepas dari nilai, disebabkan oleh kurangnya likuiditas pada jembatan lintas rantai yang digunakan, EVODeFi. Jumlah kerugian spesifik tidak diketahui, tetapi diperkirakan berada dalam kisaran puluhan juta dolar. Pihak terkait semua cepat-cepat ingin melepaskan diri dari tanggung jawab, dan kerugian pengguna hingga saat ini belum teratasi.

Horizon: Hampir 100 juta dolar dicuri, sedang menyusun rencana kompensasi

Pada bulan Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian sekitar 100 juta dolar. Investigasi awal menunjukkan bahwa masalah tersebut mungkin disebabkan oleh kebocoran kunci pribadi. Pihak proyek sedang bernegosiasi dengan komunitas untuk menyusun rencana kompensasi.

Nomad: 190 juta dolar AS hilang, sedang diproses

Pada Agustus 2022, jembatan lintas rantai Nomad mengalami insiden keamanan besar, sekitar $190 juta likuiditas habis. Masalah ini berasal dari kesalahan inisialisasi dalam pembaruan kontrak. Belum ada rencana kompensasi yang jelas, tetapi beberapa peretas etis telah menyatakan kesediaan untuk mengembalikan dana.

Ringkasan

Frekuensi kecelakaan keamanan pada jembatan lintas rantai menyoroti tingkat risiko tinggi di bidang ini. Bahkan jembatan lintas rantai dengan peringkat likuiditas tinggi pernah diserang, yang memperingatkan kita bahwa proyek lintas rantai mana pun dapat menghadapi ancaman keamanan.

Perlu dicatat bahwa proyek dengan latar belakang yang kuat sering kali dapat lebih efektif dalam memulihkan aset atau memberikan kompensasi setelah mengalami insiden keamanan. Misalnya, proyek seperti Poly Network, Ronin Network, dan Wormhole dapat melindungi hak pengguna melalui berbagai cara setelah mengalami kerugian besar.

Selain itu, kemampuan pemantauan waktu nyata dan respons cepat dari pihak proyek juga sangat penting. Beberapa proyek seperti Hop Protocol dan StarGate dengan cepat mengambil tindakan setelah menemukan aktivitas mencurigakan, berhasil mencegah serangan yang berpotensi.

Kasus-kasus ini mengingatkan kita bahwa dalam memilih jembatan lintas rantai, selain mempertimbangkan faktor teknis, kita juga harus memperhatikan latar belakang tim proyek, kekuatan finansial, dan kemampuan penanganan darurat untuk memaksimalkan perlindungan keamanan aset kita.