Peretasan crypto terbesar tahun 2022

Pada tahun 2022, proyek berbasis cryptocurrency mengalami serangkaian peretasan dan eksploitasi yang menghancurkan di tahun yang dianggap sebagai tahun terburuk dalam hal mengamankan aset digital.  

Secara keseluruhan, frekuensi peretasan crypto meningkat pesat tahun ini, melampaui rekor $3 miliar dalam total dana yang hilang — lonjakan dari $2 miliar yang hilang karena peretasan pada tahun 2021 — Menurut a Rantai melaporkan.

Tahun ini menunjukkan kepada kita bagaimana blackhat atau peretas jahat menggunakan taktik yang semakin canggih untuk mengeksploitasi kelemahan dalam aplikasi terdesentralisasi yang mungkin memiliki bug, seperti setiap perangkat lunak lainnya.

Di antara perampokan crypto utama tahun 2022, insiden keamanan yang melibatkan jembatan lintas rantai dan protokol keuangan terdesentralisasi menonjol karena menderita kerugian hingga ratusan juta dolar dalam eksploitasi individu. Selama eksploitasi tersebut, peretas mengakses dan mencuri aset kripto tanpa otorisasi dengan memanfaatkan kerentanan dalam kontrak cerdas.

Artikel ini mengeksplorasi peretasan crypto terbesar tahun 2022 dan kesalahan yang mengarah ke setiap serangan.

Ronin Network — $625 juta

Pada 29 Maret, Ronin, sebuah sidechain yang menampung game Axie Infinity dari Sky Mavis adalah dieksploitasi untuk $625 juta dalam berbagai aset kripto, menjadikannya pencurian kripto terbesar hingga saat ini. Sky Mavis mengembangkan Ronin untuk menghosting game blockchain populernya Axie Infinity. Namun keadaan berubah menjadi lebih buruk ketika tim gagal mengamankan jaringan Ronin dari para pelaku, nanti diidentifikasi menjadi kelompok peretas Lazarus Korea Utara. 

Melalui sebuah serangan phishing berbasis email pada mantan karyawan, grup peretasan memperoleh akses ke infrastruktur TI Sky Mavis. Di sana, para peretas menemukan dan mencuri kunci pribadi ke node validator blockchain Ronin, yang disimpan perusahaan di server internalnya. Ketika peretas memiliki akses ke kunci validator, mereka mengambil kendali atas seluruh jaringan Ronin dan mentransfer lebih dari 173,600 eter (ETH) dan 25.5 juta USDC stablecoin, dengan total lebih dari $625 juta. 

Untungnya bagi pengguna yang dananya diambil selama insiden ini, sebagian besar telah diganti sepenuhnya, klaim perusahaan. Seminggu setelah peretasan, SkyMavis menonjol $150 juta dalam putaran pendanaan yang dipimpin oleh Binance dan menggabungkannya dengan asetnya sendiri membayar kembali semua orang yang terkena eksploitasi.

FTX — $370-$400 juta 

Tidak seperti perampokan keamanan besar lainnya selama tahun ini — seperti yang memengaruhi aplikasi blockchain terdesentralisasi yang beroperasi pada kontrak pintar — FTX pertukaran terpusat yang sekarang runtuh jatuh karena salah satu peretasan terbesar tahun 2022. Berlangsung pada bulan November, peretasan FTX terungkap setelah admin Telegram resmi bursa melaporkan "akses tidak sah." 

Data onchain menunjukkan bahwa pertukaran itu dompet kehilangan dana antara $370 juta hingga $ 400 juta tak lama setelah itu mantan CEO Sam Bankman-Fried mengajukan perlindungan kebangkrutan Bab 11. 

Beberapa moutlet media disatukan kecerdasan hackh transfer mencurigakan lainnya sebesar $400 juta yang dilakukan dari FTX atas perintah Komisi Sekuritas Bahama untuk mengamankan aset, yang menyebabkan kebingungan. Namun, keduanya adalah insiden yang terpisah.

Kepala FTX baru John J. Ray III bersaksi peretasan dan transfer aset besar lainnya yang diperintahkan oleh regulator Bahama terpisah. Ini diverifikasi oleh perusahaan analitik Chainalysis, yang bekerja sama dengan FTX untuk melacak aset.

“$400 juta yang dicuri dan diretas dari FTX benar-benar terpisah dari $400 juta yang dipegang oleh Komisi Sekuritas Bahama. Sangat dapat dimengerti bahwa orang-orang bingung dengan hal ini, ”kata juru bicara Chainalysis kepada The Block.

Ray juga mengungkapkan dalam kesaksian yang telah disiapkan dokumen bahwa FTX menyimpan kunci pribadi ke dompetnya dengan cara yang tidak terenkripsi, dan telah mengadopsi kontrol keamanan yang sangat buruk — faktor-faktor yang dapat dengan mudah memungkinkan terjadinya peretasan.

Lubang cacing — $325 juta 

Pada bulan Februari, Wormhole, protokol jembatan lintas rantai, diretas dalam eksploitasi jembatan terbesar tahun ini. Wormhole memungkinkan pengguna untuk mengunci ETH mereka dan menerima aset yang dipatok yang disebut Wormhole ETH (wETH) di jaringan Solana. 

Pada 2 Februari, Wormhole jatuh ke tangan seorang peretas yang memalsukan tanda tangan keamanan tertentu di jembatan dan mencetak 120,000 kekayaan senilai $ 325 juta keluar dari udara tipis. Peretas menukar weTH yang dicetak secara ilegal dengan ETH yang sebenarnya di jaringan Ethereum, sehingga menguras semua aset yang dimiliki di Wormhole. 

Insiden tersebut menghentikan operasi jembatan dan untuk beberapa waktu tampaknya akhir Wormhole sudah dekat. Akan sangat menantang untuk memulihkan kerugian tetapi yang mengejutkan semua orang, beberapa hari setelah peretasan, Wormhole mengatakannya diganti semua ETH yang dicuri dan membuka jembatan.

Jump Crypto, sebuah perusahaan perdagangan dan modal ventura yang menginkubasi Wormhole, mengonfirmasi bahwa mereka mengisi kembali 120,000 ETH yang dicuri dari dananya sendiri untuk membantu mempertahankan jembatan tersebut.

Pengembara — $190 juta 

Pada 7 Agustus, Nomad — jembatan yang menghubungkan blockchain Ethereum, Avalanche, Moonbeam, dan Evmos — mengalami peretasan jembatan lintas rantai terbesar kedua tahun ini dengan $ 190 juta nilai aset yang hilang. Peretasan tersebut diakibatkan oleh pembaruan yang salah di mana pengembang Nomad salah menunjuk 0x00 (alamat nol) sebagai root tepercaya. 

Fungsi ini berarti siapa pun dapat menarik dana dari jembatan tanpa melalui pemeriksaan kontrak perwalian dan dapat dengan mudah melewati keamanannya. Sebagai pembaruan masalah menjadi publik, selesai 300 alamat bergegas masuk untuk mengambil uang dari Nomad dengan eksploitasi gratis untuk semua. Untungnya, beberapa alamat milik peretas etis yang kemudian dikembalikan $22 juta kembali ke Nomad. 

Peternakan Pohon Kacang — $182 juta

Beanstalk Farms, protokol stablecoin Terserang pada bulan April 2022 dalam peretasan tata kelola terbesar tahun ini.

Seorang peretas tak dikenal memanfaatkan celah keamanan di organisasi otonom terdesentralisasi (DAO) Beanstalk, yang mengawasi pengambilan keputusan untuk proyek stablecoin. Di Pohon Kacang, siapa pun dapat mengajukan proposal dan meloloskannya dalam sehari jika menerima suara mayoritas dari pemegang pemerintahan asli Pohon Kacang yang disebut kacang. 

Seorang aktor jahat mengajukan proposal yang meminta komunitas untuk mengirim aset kripto dari perbendaharaan Pohon Kacang ke alamat kripto peretas. Ketika pemungutan suara berlalu, transfer secara otomatis dilakukan.

Penyerang mengambil a pinjaman kilat, pinjaman yang dapat diambil tanpa agunan apapun, jika dikembalikan dalam transaksi yang sama. Dengan ini, peretas dibeli jutaan dolar dalam bentuk token kacang untuk memastikan mereka memiliki cukup token agar pemungutan suara disetujui. 

Dengan trik ini, peretas dapat menyalurkan sekitar $80 juta token kacang dari perbendaharaan proyek tanpa sepengetahuan pengembang inti Beanstalk. Setelah ini, peretas menjual token kacang itu di platform, kerugian akhir menjadi jauh lebih tinggi untuk Pohon Kacang. Perusahaan keamanan PeckShield diperkirakan insiden itu merugikan Pohon Kacang $ 182 juta dalam kerugian protokol.

Pasar Mangga — $114 juta

Meskipun secara teknis bukan peretasan, platform pinjaman berbasis Solana mengalami eksploitasi manipulasi pasar besar-besaran pada bulan Oktober.

Penyerang — yang kemudian diduga sebagai pedagang DeFi Avraham Eisenberg — memimpin tim untuk menyerang Mango Markets ke corong $ 114 juta dalam simpanan pelanggan dari platform. Dia kemudian mengakui keterlibatannya.

Serangan itu berlipat ganda. Pertama, Eisenberg diduga membeli puluhan juta token Mangga yang tidak likuid — yang dia simpan ke dalam protokol sebagai jaminan pinjaman.

Kedua, dengan sekitar $5 juta dalam stablecoin USDC, dia diduga menaikkan harga token Mangga beberapa kali — sehingga secara artifisial meningkatkan nilai dolar dari simpanan agunan pinjamannya di Mangga. Dia dapat melakukan ini karena token Mangga memiliki likuiditas yang sangat tipis di banyak bursa.

Nilai pasar yang meningkat dari token Mangga memalsukan oracle data dengan berpikir bahwa aset yang disimpan oleh Eisenberg bernilai lebih dari $400 juta.

Dengan nilai agunan yang dipompa, dia meminjam $114 juta aset crypto dengan maksud untuk tidak membayarnya kembali — menghasilkan keuntungan besar bagi dirinya sendiri. Sehari kemudian, dia memaksa pemerintahan Mangga memberikan suara, setuju untuk mengembalikan $47 juta sebagai kesepakatan negosiasi topi putih. Hingga saat ini, identitas penyerang belum diketahui.

Detektif on-chain melacak serangan itu ke Eisenberg. Dia mengaku keterlibatannya tetapi dia membantah melakukan sesuatu yang ilegal, dengan alasan dia "menggunakan protokol seperti yang dirancang." Jelas pihak berwenang tidak membeli argumen "kode adalah hukum" yang dibuat oleh Eisenberg. 

Pada bulan Desember, Eisenberg adalah dibawa ke tahanan dan didakwa dengan kejahatan terkait manipulasi pasar oleh Departemen Kehakiman Amerika Serikat. DoJ menangkapnya atas tuduhan penipuan komoditas dan manipulasi komoditas di Puerto Rico.

BNB Token Hub — $120 juta 

Pada 6 Oktober, sebuah entitas tak dikenal melakukan aksi besar-besaran menyerang di BNB Token Hub, layanan jembatan yang berjalan antara BNB Chain — sebuah blockchain yang didirikan oleh pertukaran crypto Binance — dan Ethereum.

Memanfaatkan bug dalam sistem bukti kriptografi jembatan, seorang peretas dapat mengambil kendali lebih dari 2 juta token BNB yang terkunci di jembatan dan bernilai $550 juta pada saat itu.

Peretas hanya berhasil mentransfer BNB Chain senilai antara $120 juta-$130 juta ke rantai lain sebelum jaringan dihentikan. Segera setelah serangan terdeteksi, validator BNB Chain setuju untuk membekukan jaringan untuk mengambil lebih dari $430 juta yang tersimpan di alamat peretas. Jaringan mati selama beberapa jam tetapi aktif kembali dan berjalan sehari kemudian.

Cakrawala — $100 juta

Protokol lain yang menjadi korban peretasan besar-besaran adalah Horizon, sebuah jembatan yang menghubungkan Ethereum ke blockchain Harmony. Pada bulan Juni, seorang penyerang mencuri $ 100 juta terkunci di Horizon setelah mengkompromikan beberapa kunci pribadi yang dimiliki oleh akun admin keamanan yang mengendalikan jembatan.

Proses mentransfer aset dari kontrak penyebaran Horizon ke Ethereum melibatkan skema multi-tanda tangan yang memerlukan persetujuan hanya dari dua dari lima akun admin. Ini berarti pelaku jahat harus mencuri dua kunci pribadi untuk menyetujui transfer yang tidak sah, yang persis seperti yang terjadi terkenal oleh perusahaan keamanan Halborn. 

Setelah mendapatkan akses ke dua kunci pribadi admin bridge, mungkin melalui serangan phishing pada admin. Kemudian peretas dapat menyetujui transaksi yang menghasilkan $100 juta ke dalam kendali mereka.

Qubit — $80 juta 

Qubit, protokol peminjaman dan jembatan Rantai BNB, adalah target peretasan crypto skala besar pertama tahun ini di bulan Januari. Di Qubit, pengguna dapat menyetor ether (ETH) dari Ethereum dan bridge mengeluarkan aset yang dipatok “xETH” di BNC Chain. xETH dapat digunakan sebagai jaminan pada platform pinjaman Qubit.

Pada 27 Januari, seorang peretas dieksploitasi kerentanan logika perangkat lunak di Qubit yang membuat xETH tersedia untuk digunakan di BNB Chain tanpa menyimpan ETH di Ethereum. Sifat kerentanan sedemikian rupa sehingga memungkinkan penyerang mencetak xETH dalam jumlah besar tanpa menyetorkan aset nyata apa pun.

Setelah peretas dapat mencetak banyak xETH, mereka mengambil beberapa pinjaman dari Qubit dengan token tersebut sebagai jaminan. Pada akhirnya, penyerang menghabiskan semua 206,000 BNB yang dipertaruhkan di Qubit Finance dengan mengambil pinjaman dalam satu putaran, bernilai sekitar $80 juta pada saat itu.

Penafian: Mulai tahun 2021, Michael McCaffrey, mantan CEO dan pemilik mayoritas The Block, mengambil serangkaian pinjaman dari pendiri dan mantan CEO FTX dan Alameda Sam Bankman-Fried. McCaffrey mengundurkan diri dari perusahaan pada Desember 2022 setelah gagal mengungkapkan transaksi tersebut.