6 kejutan Eksploitasi yang paling menonjol di paruh pertama tahun 2021

Ringkasan 6 eksploitasi (peretasan) paling mencolok di paruh pertama tahun 2021 dan daftar total kerusakan dan solusi proyek.

Hallo teman-teman.

Hari ini, saya ingin berbagi dengan Anda sebuah artikel yang merangkum eksploitasi (peretasan) paling populer di paruh pertama tahun 2021. Pada saat yang sama, daftar proyek yang telah diretas oleh peretas, kerusakan total dari insiden tersebut dan solusinya. Untuk lebih jelasnya silahkan simak artikel berikut ini.

Ikhtisar Eksploitasi 

Eksploitasi adalah istilah yang digunakan untuk berbicara tentang serangan dari seseorang atau sekelompok orang (secara anonim) yang dengan sengaja memasuki bug atau lubang keamanan untuk mengeksploitasi dan mendapatkan keuntungan. Istilah ini berlaku untuk kripto dan non-kripto.

Serangan biasanya terjadi di sistem operasi jaringan, Dapps atau kode perangkat lunak apa pun. Dalam beberapa kasus, banyak peretas mencuri data dalam sistem seperti informasi pengguna, aset dana, ... atau memasukkan virus ke dalam perangkat lunak untuk menghancurkan node terkait.

Klasifikasi Eksploitasi Umum

Exploit sudah terkenal di industri elektronika, dan jenis Exploit juga banyak macamnya, untuk lebih memahaminya saya akan mengklasifikasikan sebagai berikut :

• Remote Exploit : Proses eksploitasi bug pada sistem keamanan utama dari jarak jauh pada komputer/jaringan lain.
• Eksploitasi Lokal : Suatu bentuk eksploitasi bug di sistem keamanan tepat di sistem utama dan secara bertahap meningkatkan izinnya, meretas kata sandi, mengeksploitasi data orang lain, ...
• Ada jenis exploit lain yang akan menyusup ke akses Administrator (Administrative Level Access/root) dan melakukan tindakan keuntungan pribadi dari sana.

Eksploitasi di Crypto

Di Crypto, Exploit dikenal karena serangan terhadap kerentanan dalam kontrak pintar, atau kelemahan keamanan yang umum ditemukan seperti Situs Web, Dapps, IoT, API, UI-UX,...

Seringkali perangkat lunak yang baru saja diprogram dapat mengalami kesalahan selama eksekusi, lubang keamanan tersebut sering muncul di Konfigurasi, Aplikasi (Dapps), Shrink wrap Code dan Sistem Operasi.

Kerentanan teknis sering diperhatikan oleh peretas

Serangan dari hacker seringkali sulit dideteksi hingga konsekuensinya terjadi, sehingga proyek blockchain saat meluncurkan produk baru akan sering mengadakan event Testnets, Devnets dan Bug Bounty.get bounty) untuk komunitas.

Bug bounty adalah program keamanan yang sering diterapkan oleh proyek ke Dapps mereka, sebagian untuk mensurvei pengalaman pengguna, sebagian lagi untuk mendeteksi lubang keamanan (bug) di produk mereka. 

Alih-alih diserang oleh hacker dan merugi ribuan juta dolar, bersama dengan banyak masalah hukum lainnya, Bug Bounty agak membatasi risiko yang mungkin terjadi di masa depan. 

6 kasus Eksploitasi yang luar biasa pada tahun 2021

Jaringan Poli

Poly Network adalah jaringan yang digunakan untuk interaksi multi-rantai, membangun infrastruktur Internet generasi berikutnya. Blockchains dapat terhubung ke Poly Network melalui jaringan terbuka dan mekanisme Penerimaan Transparan (transparansi) dalam mengakses informasi, kepercayaan dan konsistensi. 

Selain itu, Poly Network juga menghubungkan banyak blockchain lainnya & telah mengintegrasikan banyak platform seperti Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo dan Huobi ECO Chain. Hingga saat ini, Poly Network belum memiliki token dalam mekanisme tata kelolanya.

Alasan Poly Network berada di 6 teratas ini adalah karena baru-baru ini pada 10 Agustus, Twitter Poly Network mengkonfirmasi bahwa mereka telah mengalami serangan lintas-rantai, dan insiden itu diperkirakan menelan biaya 611 juta dolar. Secara khusus, kerusakan meliputi:

• $273 juta untuk Ethereum.
• $253 juta di BSC.
• $85 juta untuk Polygon.

Selain itu, O3 Swap - platform yang dibangun di Poly Network juga sebagian terpengaruh, masih belum ada data pasti untuk kasus ini.

Meskipun Poly Network diaudit oleh Certik , tidak dapat dihindari bahwa kasus-kasus tak terduga seperti di atas terjadi. Proyek sedang menyelidiki kasus ini, informasi spesifik akan diperbarui segera setelah ada pengumuman baru dari Poly Network.

Lab Keuangan Alfa

Alpha Finance Lab adalah platform DeFi Cross-chain yang dibangun di atas ekosistem Binance Smart Chain, termasuk produk dan layanan Pinjam Meminjam, mendukung pengguna di banyak blockchain yang berbeda. 

ALPHA adalah token asli perwakilan proyek, melayani tata kelola dalam sistem, mendukung penambangan Likuiditas dalam meminjamkan atau meminjam, Anda juga dapat Mempertaruhkan ALPHA untuk menghasilkan keuntungan. 

Alasan mengapa Alpha Finance masuk dalam 6 besar kasus Exploit adalah karena total damage setelah serangan tersebut cukup besar hingga 37,5 juta USD.

Ringkasan acara

Pada pagi hari tanggal 13 Februari 2021, seorang hacker menyerang protokol Alpha Homora V2 & transaksi Pinjaman kemudian dihentikan untuk penyelidikan. Serangan ini dikatakan cukup rumit karena peretas telah mengambil banyak langkah sebelum merampas jumlah di atas, yaitu:

• Peretas membuat alamat virtual, menukar ETH ke UNI dan menambahkan LP untuk pasangan ETH + UNI di Uniswap (untuk mendapatkan token LP). Dalam transaksi yang sama, ia menukar ETH ke sUSD dan menyetor sUSD ke Cream Iron Bank.
• Di Alpha Homora V2, peretas meminjam sUSD & Aave untuk meningkatkan kepemilikan cySUSD. Dari sana, peretas meminjam lagi $13.244 ETH; $4.263.139 DAI; $3.997.921 USDC dan $5.647.242 USDT.
• Selanjutnya, setorkan sebagian ke Aave, 1,000 ETH ke Iron Bank dan Alpha Homora V2, 320 ETH ke Tornado.cash.
• Di dompet pribadi hacker setelah transaksi tersisa 10.925 ETH (setara dengan $20 juta).

Kerentanan dari insiden tersebut telah diselidiki dan diteliti oleh Alpha Finance Lab, Andre Cronje dan Cream Finance, termasuk 9 transaksi, 4 operasi berbeda dalam peretasan ini. Dapat dilihat bahwa pasar DeFi masih cukup baru dan terdapat banyak potensi risiko. 

Konsekuensi

Selain akibat diretas, kehilangan $37,5 juta, Alpha Finance Lab juga menghadapi penurunan harga token ALPHA yang berat setelah pengumuman dari proyek, pada saat pengumuman hampir 22% dan total pada bulan Februari telah menurun sebesar 39,22%. .

Ibukota Rari 

Rari Capital (RGT) dikenal sebagai protokol pertanian hasil otomatis pada platform blockchain Ethereum, membantu menarik likuiditas di DeFi Space seperti Compound, dYdX, yEarn,... Selain itu, tujuan yang ingin dicapai Rari Capital adalah menciptakan lingkungan pertanian yang efisien bagi pengguna.

Sejak diluncurkan hingga saat ini, RGT telah mengalami pertumbuhan harga yang luar biasa dari $0,2 (5 November 2020) - ATH $27,37 (15 April 2021), dapat dilihat bahwa platform Rari Capital terus berkembang dan juga merupakan platform "lezat". umpan" untuk hacker.

Ringkasan acara

Pada 8 Mei, Rari Capital harus melaporkan bahwa seorang peretas membobol sistem dan menghabiskan 2.600 ETH, kerugian 60% (diperkirakan $10.000.000) dari total dana pengguna saat itu. Saya akan meringkas kejadian tersebut secara singkat sebagai berikut:

• Peretas membuat token palsu dan mengumpulkannya di SushiSwap.
• Kemudian mereka memanfaatkan kerentanan dari fitur di Alpha Finance & mengakses Alpaca Homora untuk menerima ibETH dari kontrak kumpulan Rari ETH.
• Akhirnya, peretas mengonversi ibETH menjadi ETH di kumpulan Rari ETH.

Konsekuensi

Sumber gambar: Rekt Capital

Harga RGT turun lebih dari 40% setelah serangan. Perlu disebutkan bahwa meskipun token telah diaudit oleh Quantstamp , kerentanan ini diabaikan dan menyebabkan kerugian besar bagi Rari Capital. Sejauh yang saya tahu, Rari harus memotong 2 juta RGT untuk memberi kompensasi kepada pengguna nanti.

Keuangan Kelinci Pancake

Jika Anda suka farming, pasti Pancake Bunny (BUNNY) bukanlah nama yang asing, ini adalah profit aggregator & farming optimization tool di Binance Smart Chain. Mirip dengan Yearn Finance di Ethereum, Pancake Bunny Finance menggunakan Pancake sebagai platform Pertanian Hasil utama. 

Memungkinkan pengguna untuk membeli CAKE dan menambahkan ke pool untuk mendapatkan bunga majemuk dari pertanian. Di Pancake, ada juga jembatan antara ETH-BSC untuk memperluas jumlah pengguna di platform. BUNNY adalah token asli yang mewakili proyek, digunakan dalam administrasi dan sebagai biaya di PancakeSwap.

Ringkasan acara

Secara khusus, pada 20 Mei, Pancake harus melaporkan pinjaman kilat serangan pengeksploitasi - suatu bentuk pinjaman tanpa agunan. Memanfaatkan celah dalam fitur ini pada aplikasi, peretas telah menembus dan menyerang sebagai berikut:

• Mereka menggunakan PancakeSwap untuk meminjam sejumlah besar BNB dari kumpulan WBNB, termasuk delapan pinjaman kilat yang berbeda (menurut bank Fortube).
• Peretas menyetor 2,96 juta USDT & 7.886 WBNB ke dalam kumpulan dan mencetak 144,45 ribu token LP.
• Dengan sejumlah besar token LP di tangan, mereka mengklaim 6,97 juta hadiah BUNNY dari Vault Flip To Flip dan membawa pelepasan yang kuat ke pasar.
• Berhasil menjual semua BUNNY yang diretas, mereka kembali untuk membayar kembali BNB yang dipinjam dari pinjaman flash sebelumnya.

Konsekuensi

Sumber gambar: Rekt Capital

Kejadian tersebut menyebabkan harga BUNNY turun tiba-tiba menjadi $6 dan saat itu TVL Pancake Bunny hanya $1 miliar (dibagi 10 dari periode puncak).

Total kerusakan diperkirakan $2,4 juta, bahkan audit oleh Haechi tidak dapat melindungi Pancake Bunny dari serangan ini, 

THORRantai 

THORChain (RUNE) dikenal sebagai proyek Protokol Blockchain, membangun protokol penghubung rantai-agnostik, memungkinkan koneksi dan pertukaran nilai antara multi-rantai yang berbeda. THORChain juga menyediakan likuiditas lapisan 1, pertukaran aset instan dan penyelesaian fluktuasi harga di Crypto. 

RUNE adalah token asli di platform THORChain untuk tujuan membuat biaya transaksi, staking/voting dan berfungsi sebagai hadiah untuk Validator.

THORChain juga merupakan nama dalam 6 eksploitasi teratas terbaru, hanya dalam satu bulan, THORChain telah menghadapi 2 serangan hacker dengan total kerugian hampir 13 juta dolar.

Ringkasan acara:

• Sebelumnya pada 15 Juli, THORChain diretas untuk mencuri 2.500 ETH (diperkirakan 5 juta USD), serangan ini dalam protokol Bifrost .
• Dan menjelang akhir Juli, mereka kehilangan 8 juta dolar lagi oleh "peretas topi putih" karena kesalahan yang terkait dengan token ERC-777 (kontrak Router ETH).
• Peretas membuat Router palsu dan melakukan tindakannya di Thorchain Router.

Konsekuensi

Harga RUNE telah turun 25%. Meski sempat diaudit oleh tim bergengsi Certik, namun setelah terjadi kesalahan dan seringnya terjadi secara massal, masyarakat khawatir dan mulai menunjukkan tanda-tanda kabur. Anda bisa melihat pola candlestick bulan Juli seperti gambar di bawah ini:

Keuangan es loli

Mari saya jelaskan secara singkat, Popsicle Finance adalah platform agregasi laba multi-rantai, membantu menyediakan likuiditas di banyak platform berbeda. Proyek ini dibangun dan dikembangkan dengan tujuan membantu pengguna menyediakan likuiditas cepat, menghemat biaya gas, mendukung banyak AMM seperti Uniswap, SushiSwap, Pancakeswap,... 

Selain ICE adalah token perwakilan proyek, saat ini tim belum memperbarui fitur token ini, kemungkinan besar di masa depan ICE akan digunakan untuk pemungutan suara, sebagai biaya konversi utama di platform Popsicle.

Karena merupakan proyek baru, meski diaudit oleh Peckshield, Popsicle Finance tidak bisa lepas dari masalah lubang teknis pada sistemnya. Dari awal tahun hingga sekarang, Peckshield telah memiliki 7 exploit, rug-pull, dll, yang merupakan angka yang mengkhawatirkan bagi tim Peckshield. 

Ringkasan acara

• Kejadian ini baru saja terjadi pada tanggal 4 Agustus tepatnya, hacker membuat 3 kontrak A, B, C & diulang secara berurutan: Transfer (A) (B) & Collect Fees (C) Transfer (A) & Collect Fees ( ulangi untuk 8 kolam seperti itu).
• Sederhananya, mereka menyetor uang ke dalam kontrak A dan kemudian mentransfer token LP ke B, mengandalkan mekanisme pengumpulan biaya Sorbetto untuk mengekstrak jumlah transaksi itu. Selanjutnya, pindah dari B ke C dan seterusnya ulangi untuk semua 8 pool.
• Dapat dilihat bahwa ini adalah pengulangan yang direncanakan, mereka meminjamkan 30 juta USDT, 13.000 WETH, 1.400 BTC, 30 juta DAI, dan 200.000 UNI dari Aave untuk menyerang 8 kumpulan di atas.
• Sebenarnya, cacat di Popsicle cukup sederhana dibandingkan dengan peristiwa di proyek-proyek di atas. Penyebab utama peretasan ini adalah bahwa biaya tidak dihitung dengan benar saat token LP ditransfer.

Konsekuensi 

Popsicle Finance mengalami kerugian hingga $25 juta seiring dengan penurunan harga token ICE setelah pengumuman crash tersebut. 

Kesimpulan 

Sejak awal tahun, telah terjadi 42 kasus Exploit, Rug-pull yang terjadi di pasar Crypto. Ini juga merupakan faktor penting pada pergerakan harga baru-baru ini di beberapa proyek. DeFi Spaces adalah mangsa yang baik bagi peretas topi putih, terutama ketika pasar terus berkembang seperti saat ini.

Akankah ada solusi di masa depan, audit akan lebih ketat dan lebih otomatis? Segera ikuti saluran Coin98 Insights News untuk mendapatkan pembaruan tercepat tentang semua berita dan acara luar biasa di pasar Crypto!