10 Peristiwa Keamanan Teratas di Bidang Web3 Tahun 2024

Pada tahun 2024, industri blockchain menghadapi tantangan keamanan yang semakin serius, sambil melakukan inovasi teknologi dan perluasan ekosistem. Menurut data dari platform pemantauan keamanan, hingga saat ini, total kerugian di bidang Web3 akibat serangan hacker, penipuan phishing, dan penggelapan oleh pihak proyek mencapai 2,491 miliar dolar AS.

Peristiwa-peristiwa ini tidak hanya mengungkapkan kekurangan teknis seperti pengelolaan kunci pribadi, kerentanan kontrak pintar, tetapi juga menyoroti risiko potensial dari rekayasa sosial dan manajemen internal. Artikel ini akan meninjau sepuluh peristiwa keamanan Web3 teratas tahun 2024, dengan harapan industri dapat mengambil pelajaran dari situasi ini untuk lebih baik menghadapi ancaman keamanan di masa depan.

1. DMM Bitcoin: Kebocoran Kunci Privat Menyebabkan Kerugian 304 Juta Dolar

Pada 31 Mei 2024, bursa cryptocurrency terkenal di Jepang, DMM Bitcoin, mengalami insiden keamanan besar. Penyerang memanfaatkan kunci pribadi yang bocor untuk langsung mentransfer Bitcoin senilai lebih dari 300 juta dolar AS, dan dengan cepat menyebarkan dana yang dicuri ke beberapa alamat. Serangan ini mengungkapkan kelemahan serius dalam pengelolaan kunci pribadi dan perlindungan keamanan berlapis di bursa tersebut. Meskipun bursa mencoba melacak peretas melalui pemantauan on-chain dan membekukan dana, penyebaran transfer Bitcoin yang dicuri dan operasi pencampuran uang memberikan tantangan besar dalam usaha untuk memulihkan.

Perlu dicatat bahwa pada 24 Desember, polisi Jepang mengonfirmasi bahwa serangan ini dilakukan oleh suatu organisasi hacker internasional.

2. PlayDapp: Kebocoran Kunci Pribadi Mengakibatkan Kerugian $2,90 Miliar

Pada 9 Februari 2024, PlayDapp mengalami insiden keamanan yang serius. Hacker secara ilegal mencetak 2 miliar token PLA dengan mencuri kunci privat, dengan nilai awal 36,5 juta dolar AS. Karena negosiasi antara pihak proyek dan hacker gagal, hacker kemudian mencetak 15,9 miliar token PLA, dengan nilai 253,9 juta dolar AS. Setelah sebagian token yang dicuri masuk ke bursa, PlayDapp terpaksa menghentikan kontrak PLA dan berpindah ke kontrak token baru. Insiden ini menyoroti kekurangan proyek blockchain dalam perlindungan kunci privat dan respons darurat.

3. Sebuah bursa India: Serangan siber dan phishing menyebabkan kerugian sebesar 235 juta dolar.

Pada 18 Juli 2024, dompet multisig dari bursa cryptocurrency terbesar di India mengalami serangan yang terencana. Penyerang menggunakan teknik rekayasa sosial untuk membujuk penandatangan multisig agar menyetujui transaksi peningkatan kontrak, kemudian memanfaatkan hak akses dari kontrak yang telah ditingkatkan untuk memindahkan seluruh aset di dalam dompet. Kasus ini mengungkapkan potensi risiko pada pengaturan hak akses dan transparansi operasional dompet multisig, serta memicu pemikiran mendalam di industri mengenai mekanisme pengendalian risiko dan keamanan internal proyek.

4. Gala Games: Kerentanan kontrol akses menyebabkan kerugian 216 juta dolar

Pada 20 Mei 2024, sebuah alamat khusus Gala Games diretas oleh hacker. Penyerang menggunakan fungsi mint dalam kontrak token untuk mencetak 5 miliar token GALA sekaligus. Kemudian, token yang diterbitkan secara ilegal ini ditukarkan secara bertahap menjadi ETH, yang langsung menyebabkan kerugian sebesar 216 juta USD. Tim Gala Games dengan cepat mengaktifkan fitur blacklist untuk memblokir beberapa akun hacker setelah kejadian tersebut, dan melalui jalur hukum, mereka berhasil memulihkan sebagian kerugian.

5. Co-founder proyek cryptocurrency: Kebocoran kunci pribadi menyebabkan kerugian sebesar 112 juta dolar

Pada 31 Januari 2024, empat dompet pribadi seorang co-founder terkenal dari proyek cryptocurrency telah diretas, mengakibatkan pencurian cryptocurrency senilai 112 juta USD. Dompet-dompet tersebut diduga menjadi target serangan karena kurangnya perlindungan ganda dengan perangkat keras. Setelah kejadian tersebut, sebuah bursa besar berhasil membekukan aset yang dicuri senilai 4,2 juta USD dan membantu melacaknya, namun sebagian besar dana telah dicuci melalui bursa terdesentralisasi dan layanan pencampuran.

6. Munchables: Serangan rekayasa sosial menyebabkan kerugian 62,5 juta dolar

Pada 26 Maret 2024, platform permainan Web3 berbasis Blast, Munchables, mengalami serangan infiltrasi internal yang jarang terjadi. Penyerang menyamar sebagai pengembang blockchain dan mendapatkan akses ke kode inti dan kunci sensitif setelah bersembunyi dalam waktu yang lama. Meskipun serangan tersebut menyebabkan kerugian besar, di bawah tekanan dari komunitas dan tim, hacker akhirnya mengembalikan semua dana yang dicuri. Kejadian ini menyoroti pentingnya keamanan rantai pasokan, terutama untuk proyek blockchain yang bergantung pada pengembangan pihak ketiga.

7. Sebuah bursa di Turki: Kebocoran kunci privat menyebabkan kerugian 55 juta dolar

Pada 22 Juni 2024, bursa cryptocurrency terbesar di Turki mengalami serangan kebocoran kunci pribadi, mengakibatkan kerugian lebih dari 55 juta dolar AS dalam aset kripto. Dengan bantuan dari salah satu bursa besar, 5,3 juta dolar AS dari dana yang dicuri berhasil dibekukan, tetapi aset lainnya belum berhasil dipulihkan. Peristiwa ini semakin memperdalam kekhawatiran pasar terhadap kemampuan bursa terpusat dalam mengelola kunci pribadi.

8. Radiant Capital: Kebocoran Kunci Pribadi Mengakibatkan Kerugian 53 Juta Dolar

Pada 17 Oktober 2024, dompet multisig Radiant Capital diretas oleh hacker. Karena menggunakan model verifikasi tanda tangan 3/11 dengan ambang batas rendah, hacker berhasil menguasai kunci privat dari 3 penandatangan untuk melakukan tanda tangan off-chain, memindahkan kepemilikan kontrak dompet ke alamat jahat, yang akhirnya menyebabkan pencurian senilai 53 juta dolar AS. Serangan ini memicu refleksi industri tentang desain dan mekanisme tata kelola dompet multisig.

Perlu dicatat bahwa Radiant Capital telah kehilangan 4,5 juta USD dan lebih dari 1900 ETH akibat celah kontrak sebelum serangan ini. Hal ini sekali lagi menyoroti bahwa tingkat perhatian proyek Web3 terhadap keamanan masih perlu ditingkatkan.

9. Hedgey Finance: Kerentanan kontrak menyebabkan kerugian sebesar 44,7 juta dolar

Pada 19 April 2024, Hedgey Finance mengalami serangan terhadap beberapa kontrak di blockchain. Para hacker memanfaatkan celah persetujuan dalam kontrak ClaimCampaigns mereka, berhasil mengekstrak token di dua jaringan, Ethereum dan Arbitrum, dengan total kerugian mencapai 44,7 juta dolar AS. Insiden ini menyoroti pentingnya audit kode, terutama verifikasi ketat terhadap logika persetujuan token.

10. Sebuah bursa cryptocurrency: Kebocoran kunci pribadi menyebabkan kerugian sebesar 44,7 juta dolar

Pada 19 September 2024, dompet panas dari sebuah bursa cryptocurrency terkemuka diretas, mencakup beberapa blockchain termasuk Ethereum, BNB Chain, Tron, dan lainnya. Meskipun bursa segera meluncurkan mekanisme pemindahan aset dan pembekuan penarikan, para peretas berhasil mencuri aset senilai 44,7 juta dolar AS. Serangan ini sekali lagi mengungkapkan risiko tinggi dalam pengelolaan dompet panas di bursa terpusat, dan lebih lanjut mendorong industri untuk mengeksplorasi solusi penyimpanan aset yang lebih aman.

Serangan keamanan yang sering terjadi pada tahun 2024 kembali mengingatkan kita bahwa perkembangan industri blockchain tidak terlepas dari jaminan keamanan. Dari kebocoran kunci pribadi hingga kerentanan kontrak, dari kelalaian manajemen internal hingga peningkatan metode serangan eksternal, setiap kejadian memberikan pelajaran berharga bagi industri. Untuk menghadapi ancaman serangan yang semakin kompleks, semua pihak di industri perlu terus meningkatkan investasi dalam penelitian dan pengembangan teknologi, regulasi manajemen, dan pencegahan risiko. Di masa depan, kami berharap melalui kolaborasi industri dan inovasi teknologi, kita dapat bersama-sama membangun ekosistem blockchain yang lebih aman dan dapat diandalkan, memberikan jaminan yang lebih kuat bagi pengguna dan investor.