SlowMist: Tinjauan tentang Keamanan Blockchain

Artikel ini adalah ulasan tahunan Web3 asli oleh Coinlive dan SlowMist; silakan mengutip sumber jika Anda bermaksud memperbanyak konten.

Menurut repositori arsip SlowMist Hacked tentang jumlah insiden peretasan, ada total 295 insiden keamanan pada tahun 2022 dan kerugian hingga US$3,728 miliar. Dibandingkan dengan US$9,795 miliar pada tahun 2021, terdapat penurunan sebesar 62%. Namun, itu tidak termasuk aset yang hilang karena gejolak pasar.

Setidaknya ada 245 insiden keamanan di berbagai ekosistem DeFi, jembatan lintas rantai, dan NFT. Selain itu, ada lebih dari 10, 11, 5, dan 24 insiden keamanan yang berkaitan dengan bursa, blockchain publik, dompet, dan lainnya.

Berdasarkan waktu, serangan paling sering terjadi pada bulan Mei dan Oktober, mencapai 38 insiden. Maret melihat jumlah terbesar yang hilang sekitar US $ 700 juta.

1) Tinjauan tentang keamanan ekosistem blockchain

Blockchain Publik

Blockchain publik adalah infrastruktur paling dasar di bidang Web3, dan juga salah satu yang paling kompetitif di industri ini. Kejadian paling mengejutkan di tahun 2022 tidak lain adalah kejadian Terra. Pada 8 Mei 2022, pasar cryptocurrency muncul sebagai keruntuhan paling merusak dalam sejarah. Timbunan stablecoin algoritmik jaringan Terra senilai US$285 juta, UST, terjadi. Ini memicu serangkaian reaksi berantai, di mana harga token asli Terra, LUNA, tiba-tiba mengalami kehancuran meteorik tanpa peringatan. Hanya dalam sehari, nilai pasar LUNA turun hampir US$40 miliar, dan ekosistem TVL berkurang hingga hampir tidak ada. Insiden ini mungkin menjadi pemicu musim dingin crypto 2022.

Jembatan DeFi/Cross-chain

Menurut statistik DeFi Llama, hingga akhir Desember, nilai total DeFi yang dikunci adalah US$39,8 miliar. Itu adalah penurunan 75% dari tahun ke tahun. Ethereum memimpin, mengambil 58,5% (US$23,3 miliar) dari DeFi TVL. TRON mengikuti di belakang dengan TVL sebesar US$4,3 miliar, dan BNB Chain (BNB) mengambil US$4,2 miliar. Menariknya, pada Mei 2022, proporsi TVL Ethereum di DeFi lebih rendah sebesar 35%, sedangkan proporsi TVL TRON meningkat sebesar 47%.

Menurut statistik SlowMist Hacked, setidaknya ada 90 insiden keamanan yang terjadi di BNBChain pada tahun 2022. Jumlah total kerugian sekitar US$785 juta, peringkat pertama dalam jumlah kerugian pada platform terpisah. Sebaliknya, ada lebih dari 50 insiden keamanan yang terjadi di Ethereum, di mana total kerugian mencapai US$528 juta. Ada juga Solana yang mengalami sekitar 11 insiden keamanan dengan total kerugian US$196 juta.

Menurut statistik Dune Analytics, TVL dari jembatan lintas rantai Ethereum berjumlah US$8,39 miliar, yang dibandingkan dengan paruh awal tahun ini, turun sebesar 31%. Saat ini, Polygon Bridges memiliki TVL tertinggi (US$3 miliar). Peringkat kedua adalah Arbitrum Bridges (US$1,28 miliar), diikuti oleh Optimism Bridges (US$850 juta). Jembatan lintas rantai memungkinkan pengguna untuk memindahkan aset crypto mereka dari satu rantai ke rantai lainnya, terutama memecahkan masalah penskalaan multirantai. Namun, smart contract dari cross-chain bridge menarik perhatian para peretas karena jumlah dananya yang besar serta kurangnya audit keamanan.

Pada tahun 2022, insiden keamanan di jembatan lintas rantai mencapai 15 kasus menurut statistik Peretasan SlowMist. Kerugian berjumlah US$1,21 miliar, mengambil 32,45% dari total kerugian pada tahun 2022.

Kesimpulannya, untuk proyek, jika mereka ingin menghilangkan kerentanan dan mengurangi risiko keamanan sebanyak mungkin, mereka perlu bekerja secara efektif – Sebelum proyek ditayangkan, lakukan audit keamanan yang komprehensif dan mendalam. Pada saat yang sama, disarankan agar proyek memperkuat perlindungan aset mereka melalui mekanisme multi-signature. Ketika berinteraksi antara protokol atau kode porting, proyek perlu cukup memahami kerangka kontrak porting serta desain kerangka kerja proyek mereka sendiri. Jika kedua protokol kompatibel, itu akan cukup untuk mencegah terjadinya situasi yang mengakibatkan kerugian finansial. Bagi pengguna, karena cara bermain-main dengan blockchain beragam, pengguna harus memahami dengan cermat latar belakang proyek sebelum melanjutkan untuk berinvestasi. Sebelum berpartisipasi dalam proyek apa pun, waspada dan catat risiko proyek, periksa apakah proyek tersebut open source dan diaudit.

NFT

Performa NFT di tahun 2022 sangat menarik. Menurut statistik NFTScan, jumlah total perdagangan tahun ini untuk NFT Ethereum mencapai 198 juta kekalahan. Itu jelas lebih tinggi dari data tahun 2020 dan 2021. Jumlah perdagangan NFT di BNBChain berjumlah 345 juta dalam setahun, sedangkan perdagangan NFT Polygon mencapai 793 miliar.

Di sisi lain, menurut statistik SlowMist Hacked yang tidak lengkap, ada 56 insiden keamanan di sisi NFT. Jumlah kerugian melebihi US$654,3 juta, di mana mayoritas disebabkan oleh serangan phishing yang mencapai 40% dari kasus (22 kasus). Kedua, permadani menarik mengambil 21% dari kasus di 12 insiden.

Dompet/Pertukaran

Pada 8 Februari, Departemen Kehakiman Amerika Serikat (DOJ) mengumumkan bahwa mereka telah berhasil memulihkan bitcoin senilai US$3,6 miliar. Bitcoin ini terkait dengan insiden peretas yang terjadi pada pertukaran cryptocurrency, Bitfinex pada tahun 2016. Ilya Lichtenstein yang berusia 34 tahun dan istrinya, Heather Morgan yang berusia 31 tahun ditangkap di New York, keduanya dituduh berkonspirasi untuk melakukan pencucian uang dan penipuan. Itu juga merupakan penyitaan keuangan terbesar oleh US DOJ dalam sejarah.

Pada 6 November, pendiri Binance, CZ memposting di Twitter keputusannya untuk melikuidasi semua FTT yang tersisa di pembukuan mereka, memicu konfrontasi antara dua bursa utama. Terlepas dari CEO Alameda dan CEO FTX, upaya SBF untuk menstabilkan kepercayaan pengguna dan menyangkal berita mereka yang sebelumnya terungkap dengan serangkaian tweet. Namun, hal itu tetap menyebabkan kolam likuiditas FTX mengering, yang mengakibatkan kebangkrutan mereka. FTX akhirnya runtuh dan SBF ditangkap. Kurangnya transparansi telah memicu krisis kepercayaan di antara pengguna terhadap pertukaran terpusat, menyoroti masalah kurangnya regulasi kehati-hatian. Terlepas dari apakah lebih berhati-hati terhadap perlindungan konsumen atau aturan yang lebih jelas tentang institusi, kecepatan regulasi akan semakin jelas.

Setelah FTX runtuh, penjualan dompet perangkat keras meroket. Dompet dengan pengguna terbanyak, pengguna aktif bulanan MetaMask mencapai 300 juta. Menurut statistik Finbold, berdasarkan 21 aplikasi penyimpanan cryptocurrency teratas, ada 102 juta unduhan untuk dompet crypto di Android dan iOS antara Januari hingga Oktober 2022. Meskipun data ini lebih rendah dari jumlah unduhan di pasar beruang tahun 2021 sebesar 188 juta , masih lebih tinggi dari tahun-tahun lainnya. Statistik bulanan mengungkapkan bahwa jumlah unduhan dompet crypto pada awal tahun mengalami penurunan. Namun, setelah terpuruknya Terra/LUNA serta runtuhnya FTX, mereka mengalami peningkatan yang substansial.

Yang lain

Ireversibilitas dan anonimitas teknologi blockchain tidak hanya melindungi privasi secara efektif, tetapi juga menyediakan “payung pelindung” untuk kejahatan dunia maya. Dengan popularitas konsep seperti metaverse dan NFT, pencurian mata uang kripto dan penipuan terkadang terjadi. Banyak penjahat mengirimkan “aset kripto” yang menyamar sebagai blockchain untuk melakukan penipuan. Kemajuan dan profesionalisme produksi semacam itu jauh di luar imajinasi kita.

Menurut data dari Departemen Pembayaran dan Penyelesaian Bank Rakyat China, di antara metode pembayaran penipuan pada tahun 2021, penggunaan mata uang kripto menempati urutan kedua setelah transfer bank, sebesar US$750 juta. Sedangkan pada 2020 dan 2019 masing-masing hanya US$180 dan US$30 juta. Tren pertumbuhan tahunan terlihat jelas. Yang patut diperhatikan adalah bahwa transfer mata uang kripto dalam penipuan asmara meningkat pesat. Dalam jumlah total yang ditipu dari penipuan asmara pada tahun 2021, US$139 juta dibayarkan melalui cryptocurrency, yang masing-masing 5 dan 25 kali lipat dari tahun 2020 dan 2019.

Menurut sebuah laporan dari Komisi Perdagangan Federal (FTC) AS, sudah ada lebih dari 46.000 orang yang melaporkan telah menghadapi penipuan mata uang kripto, lebih dari setahun sejak awal tahun 2021. Jumlah kerugian melebihi US$1 miliar. Menurut laporan tersebut, jenis penipuan cryptocurrency yang paling umum terkait dengan investasi, mencapai US$575 miliar dari total US$1 miliar. Bentuk metode pembayaran yang paling umum untuk scammer termasuk BTC (70%), USDT (10%) dan ETH (9%).

2) Metode serangan

Dalam 295 insiden keamanan, metode serangan dapat dikategorikan menjadi 3 jenis utama: 1) Serangan karena cacat desain proyek itu sendiri serta berbagai kerentanan dalam kontrak, 2) Jenis Scam seperti penarikan karpet, phishing, dan metode , 3) Kerugian aset karena kebocoran kunci pribadi.

Metode serangan paling umum pada tahun 2022 disebabkan oleh cacat desain proyek itu sendiri serta berbagai kerentanan dalam kontrak mereka. Ada sekitar 92 kasus seperti itu, yang mengakibatkan kerugian total sebesar US$1,06 miliar dan mengambil 40,5% dari semua serangan. Penyebab utama penyerangan tersebut adalah karena flash loan, yang terjadi sekitar 19 kasus dengan kerugian total US$613,3 juta. Penyebab lainnya termasuk masuk kembali, manipulasi harga, masalah validasi dan sebagainya.

Probabilitas kerugian aset karena kebocoran kunci pribadi kira-kira 6%, tetapi total kerugian mencapai US$746 miliar. Kedua setelah eksploitasi karena kerentanan kontrak, kerugian terbesar akibat pencurian kunci pribadi datang dari insiden Ronin, kemudian disusul oleh Harmony. Mereka semua berasal dari jembatan lintas rantai.

Di dunia Web3, kesadaran keamanan pengguna seringkali berbeda-beda, mengakibatkan banyaknya serangan phishing yang beragam dan sering terhadap pengguna. Misalnya, penyerang menggunakan cara jahat untuk mengambil alih platform media sosial resmi proyek (mis. Perselisihan, Twitter), atau menyamar sebagai akun media sosial resmi mereka. Mereka kemudian akan memposting tautan phishing untuk permen dan airdrop, terkadang bahkan memposting ulang akun resmi asli untuk membingungkan pengguna. Misalnya, menggunakan iklan di mesin pencari untuk mempromosikan situs web palsu atau nama domain dan konten yang sangat mirip dengan yang resmi agar dapat dipercaya. Termasuk membuat meniru email mereka, hadiah menarik untuk membuat pengguna jatuh ke dalam perangkap mereka. Contoh lain termasuk menggunakan kurangnya informasi pengguna baru untuk menyediakan tautan unduhan aplikasi palsu. Apa pun itu, yang terpenting adalah meningkatkan rasa kesadaran Anda. Pada saat yang sama, jika Anda mengetahui bahwa Anda telah jatuh ke dalam perangkap mereka, segera transfer aset Anda untuk mencegah kerugian pada waktunya, serta untuk menyimpan bukti. Cari bantuan dari lembaga keamanan di industri jika perlu.

Kasus terburuk datang dari tarikan permadani. Permadani menarik biasanya mengacu pada saat seorang pendiri menyerah pada proyeknya, melarikan diri dengan dana. Lebih sering juga proyek tersebut memiliki niat buruk. Permadani menarik dapat terjadi dalam banyak cara. Misalnya, saat pengembang memulai likuiditas awal, mendongkrak harga. Kemudian, mereka akan menarik likuiditas dan membuat proyek crypto. Melalui berbagai cara pemasaran, mereka akan menarik pengguna crypto untuk berinvestasi, juga memilih waktu yang tepat untuk mengambil dana investasi pengguna tanpa peringatan. Mereka akan terus menjual aset crypto ini dan akhirnya menghilang, dan pengguna yang berinvestasi dalam proyek tersebut kemudian akan menderita kerugian besar. Contoh lain adalah mereka merilis situs web, tetapi tutup setelah menerima lebih dari puluhan ribu setoran. Pada tahun 2022 saja, terdapat 50 kasus permadani tarik yang mengakibatkan kerugian sebesar US$188 miliar. Mereka paling sering berada di ekosistem BSC dan di antara NFT.

Metode baru pada tahun 2022 termasuk serangan berbahaya front-end, serangan DNS, dan pembajakan BGP. Kasus yang paling aneh adalah hilangnya aset karena konfigurasi manusia dan kesalahan operasional.

3) Teknik phishing/penipuan

Segmen ini hanya mengungkapkan teknik phishing/penipuan tertentu yang telah diungkapkan oleh SlowMist.

Penanda browser web berbahaya mencuri token Discord

Peramban saat ini semuanya memiliki pengelola bookmark mereka sendiri, tetapi sambil memberikan kemudahan, itu juga merupakan sasaran empuk bagi penyerang. Melalui halaman phishing yang dibuat dengan jahat, itu dapat memasukkan kode JavaScript ke dalam bookmark yang Anda simpan. Dengan itu, pada dasarnya ia dapat melakukan apa saja, termasuk memperoleh informasi melalui paket front-end webpackChunkdiscord_app oleh Discord. Ketika pengguna Discord mengkliknya, kode JavaScript berbahaya akan mulai dieksekusi dalam domain Discord pengguna. Itu akan mencuri token Perselisihan Anda, dan setelah itu, penyerang dapat secara langsung dan otomatis mengambil alih izin yang relevan terkait dengan akun Perselisihan untuk mengelola proyek. Menerima token Discord sama dengan masuk ke akun Discord. Itu dapat melakukan semua yang dapat dilakukan oleh akun yang masuk, seperti membuat bot webhook Discord, dan melakukan phishing memposting pengumuman palsu di saluran. Berikut ilustrasi korban mengklik bookmark phishing:

Di bawah ini mengilustrasikan kode JavaScript yang ditulis oleh penyerang yang menerima token dan informasi pribadi korban. Itu diterima melalui webhook server Discord.

Seperti yang diilustrasikan, mengingat bahwa pengguna telah masuk ke web Discord dan dengan asumsi bahwa korban telah menyimpan bookmark berbahaya dari halaman phishing, itu akan memicu kode berbahaya ketika mereka masuk ke web Discord dan mengklik bookmark tersebut. Akibatnya, Token korban dan informasi pribadi lainnya akan dikirim ke saluran penyerang melalui webhook Discord yang disiapkan oleh penyerang.

Phishing NFT pesanan palsu

Mencontohkan website phising berikut ini, signature contentnya terdiri dari:

Pembuat: Alamat pengguna

Pengambil: 0xde6135b63decc47d5a5d47834a7dd241fe61945a

Pertukaran: 0x7f268357A8c2552623316e2562D90e642bB538E5 (alamat kontrak OpenSea V2)

Ini adalah teknik phishing NFT yang umum terlihat, di mana penipu dapat membeli semua NFT yang Anda miliki untuk 0ETH (atau mata uang lainnya). Artinya, pesanan ini menipu pengguna untuk menandatangani penjualan NFT mereka sendiri. Setelah pengguna menandatangani pesanan ini, scammer dapat membeli NFT langsung melalui OpenSea. Tetapi harga yang mereka beli ditentukan oleh scammer, yang berarti scammer dapat "membeli" NFT pengguna tanpa mengeluarkan uang sepeser pun.

Selain itu, tanda tangan pada dasarnya disimpan oleh penyerang. Validitasnya tidak dapat dicabut melalui situs web seperti Revoke.Cash atau Etherscan, untuk membatalkan otorisasi tanda tangan. Namun, ini dapat membatalkan wewenang Anda untuk mencantumkan pesanan, yang dapat mencegah risiko phishing dari akar masalahnya.

Trojan Pencuri Garis Merah

Serangan semacam itu melalui Discord untuk mengundang pengguna berpartisipasi dalam pengujian beta proyek game baru. Menyamar sebagai "memberikan diskon", obrolan pribadi dari grup atau metode semacam itu untuk mengirimi Anda program untuk diunduh. Mereka biasanya akan mengirim file zip yang akan mengekstrak file .exe sekitar 800mb. Setelah Anda menjalankannya di perangkat Anda, itu akan memindai semua file dan memfilter file yang berisi kata "dompet" dan kata kunci relevan lainnya. Itu kemudian akan diunggah ke server penyerang dan mereka akan mencapai tujuan mencuri cryptocurrency.

Redline Stealer adalah Trojan jahat yang dijual terpisah di forum bawah tanah, ditemukan pada Maret 2020. Malware ini mengumpulkan informasi seperti kredensial yang disimpan, data yang dilengkapi secara otomatis, serta kartu kredit dari browser. Versi baru Redline menambahkan kemampuan untuk mencuri mata uang kripto, yang secara otomatis dapat memindai informasi dompet mata uang kripto yang sudah terpasang. Kemudian, itu akan diunggah ke perangkat yang dikendalikan dari jarak jauh. Malware ini memiliki kemampuan untuk mengunggah dan mengunduh file, menjalankan perintah, serta mengirimkan kembali informasi tentang perangkat yang terinfeksi secara berkala. Itu akan sering menyerang direktori terkait dompet cryptocurrency, melakukan pemindaian di file dompet:

Kosongkan centang eth_sign phishing

Setelah menghubungkan dompet Anda dan mengklik "klaim", pop-up akan muncul untuk meminta tanda tangan Anda. Pada saat yang sama, MetaMask akan menampilkan pengingat peringatan berwarna merah. Namun, tidak mungkin untuk mengetahui dari pop-up ini apa sebenarnya yang diminta oleh permintaan tanda tangan ini. Ini sebenarnya adalah jenis tanda tangan yang sangat berbahaya, yang pada dasarnya adalah “cek kosong” dari Ethereum. Melalui phishing ini, penipu dapat menggunakan kunci pribadi Anda untuk melakukan transaksi apa pun.

Metode eth_sign ini dapat menandatangani hash apa pun. Secara alami, itu dapat menandatangani bytes32 setelahnya. Oleh karena itu, penyerang hanya memerlukan dApp yang kami sambungkan untuk mendapatkan alamat kami dan menganalisis serta menanyakan akun kami. Ini dapat membuat data apa pun (Misalnya, transfer token asli, memanggil kontrak) hanya dengan menandatangani eth_sign.

Jenis phishing lainnya adalah jika Anda menolak penandatanganan yang disebutkan di atas, itu akan secara otomatis menampilkan pop-up tanda tangan lain di MetaMask Anda, menipu Anda untuk menandatangani saat Anda lengah. Setelah menerima informasi tanda tangan Anda, menggunakan metode SetApprovalForAll, itu akan berubah menjadi "Semua NFT Anda" di bawah "Aset yang disetujui". Artinya, setelah Anda mendaftar, penipu akan dapat mencuri semua NFT Anda tanpa batasan.

Metode phishing semacam ini sangat membingungkan pengguna. Sebelumnya, saat menghadapi phishing otorisasi, MetaMask akan secara objektif menunjukkan kepada kami data yang memberi tahu kami bahwa penyerang ingin kami menandatanganinya. Meskipun demikian, ketika penyerang menggunakan metode eth_sign untuk membuat pengguna menandatangani, MetaMask hanya menampilkan serangkaian hash bytes32.

Kode akhir yang sama + TransferDari penipuan transfer nol

Di bawah riwayat transaksi pengguna, alamat tak dikenal yang mentransfer 0USDT akan terus muncul. Transaksi ini juga diselesaikan melalui fungsi TransferFrom. Ini terutama karena dalam kontrak token, fungsi TransferForm tidak mengamanatkan bahwa jumlah transfer resmi harus lebih dari 0. Oleh karena itu, transfer 0USDT dapat berhasil dilakukan tanpa otorisasi akun pengguna. Penyerang berbahaya mengeksploitasi kondisi ini untuk terus-menerus menargetkan pengguna on-chain yang aktif untuk memulai TransferFrom. Akibatnya, ini akan memicu peristiwa Transfer.

Selain pelecehan tersebut dengan transfer 0USDT, itu disertai oleh penyerang yang menargetkan pengguna yang sering berdagang dan dalam skala besar. Mereka akan terus-menerus mengirimkan token dalam jumlah kecil, seperti 0,01USDT atau 0,001USDT. Akhir dari alamat penyerang akan hampir sama dengan alamat pengguna. Sering kali, ketika pengguna menyalin alamat dari riwayat transaksi mereka, mereka salah menyalin, yang mengakibatkan hilangnya dana mereka.

Di atas hanyalah contoh dari beberapa metode serangan dan situasi yang umum terlihat. Pada kenyataannya, peretas dan penyerang terus-menerus menemukan cara baru untuk mengatasi situasi apa pun. Oleh karena itu, mereka akan selalu menemukan metode baru, dan pada akhirnya, yang harus kita lakukan adalah selalu mendapatkan pengetahuan.

Untuk pengguna individu, mereka dapat menghindari sebagian besar risiko dengan mematuhi peraturan dan regulasi keselamatan berikut:

2 aturan keselamatan utama:

• Nol Kepercayaan. Sederhananya, selalu waspada dan jaga kewaspadaan setiap saat.
• Verifikasi Berkelanjutan. Jika Anda ingin percaya, Anda harus dapat memverifikasi keraguan Anda dan menjadikan kemampuan ini sebagai kebiasaan.

Peraturan keselamatan:

• Pengetahuan di internet harus selalu direferensikan silang dengan 2 referensi lainnya. Buktikan mereka dan selalu tetap skeptis.
• Isolasi dengan baik, artinya jangan menaruh semua telur Anda dalam satu keranjang.
• Untuk dompet dengan aset penting, jangan terlalu sering memperbaruinya, cukup jika sudah cukup.
• Apa yang Anda lihat adalah apa yang Anda tandatangani. Bahkan jika apa yang Anda lihat adalah apa yang diharapkan untuk Anda tanda tangani, begitu Anda menandatanganinya, apa yang terjadi selanjutnya haruslah sesuatu yang diharapkan.
• Perhatikan pembaruan keamanan sistem. Begitu ada pembaruan keamanan baru, segera tindaklanjuti.
• Jangan buru-buru mengunduh program apa pun.

Dengan itu, saya sangat merekomendasikan membaca dan menguasai Buku Pegangan Selfguard Hutan Gelap Blockchain oleh SlowMist.