Analisis Serangan Hacker Terbesar dalam Sejarah Web3
Pada 21 Februari 2025, dompet dingin Ethereum dari sebuah platform perdagangan terkenal mengalami serangan keamanan yang serius. Penyerang menggunakan metode phishing yang dirancang dengan baik untuk membujuk penandatangan dompet multisignature untuk menandatangani transaksi jahat, mengakibatkan sekitar 1,46 miliar dolar AS aset kripto dipindahkan ke alamat yang tidak diketahui.
Tinjauan Proses Serangan
Langkah utama penyerang adalah sebagai berikut:
Menerapkan kontrak jahat yang mengandung pintu belakang untuk pemindahan dana.
Memanipulasi antarmuka dompet multi-tanda tangan sehingga informasi transaksi yang dilihat oleh penandatangan tidak konsisten dengan data yang sebenarnya dikirim ke dompet perangkat keras.
Mendapatkan tiga tanda tangan yang valid melalui antarmuka palsu, mengganti kontrak implementasi dompet multisig dengan versi berbahaya.
Mengontrol dompet dingin dan mentransfer sejumlah besar aset.
Penelitian menemukan
Perusahaan keamanan Sygnia yang ditugaskan untuk melakukan investigasi forensik telah merilis laporan awal, temuan utama termasuk:
Ditemukan kode JavaScript jahat yang disuntikkan di dalam bucket penyimpanan AWS S3 yang digunakan oleh dompet multisignature.
Analisis kode menunjukkan bahwa tujuan utamanya adalah untuk memanipulasi konten transaksi selama proses tanda tangan.
Kode jahat memiliki kondisi aktivasi tertentu dan hanya berlaku untuk alamat kontrak tertentu.
Tak lama setelah serangan selesai, versi terbaru dari sumber daya JavaScript diunggah, menghapus kode berbahaya.
Bukti awal menunjukkan bahwa serangan berasal dari infrastruktur AWS di dompet multi-tanda tangan.
Saat ini belum ditemukan tanda-tanda bahwa infrastruktur dasar platform perdagangan sendiri telah disusupi.
Analisis Kerentanan Keamanan
Kejadian ini mengungkapkan berbagai masalah keamanan di berbagai tingkat:
Keamanan penyimpanan awan: Ember penyimpanan AWS S3 yang telah dimanipulasi menunjukkan adanya celah dalam kontrol akses layanan awan.
Verifikasi keamanan frontend yang tidak memadai: Jika frontend dompet multi-tanda tangan menerapkan verifikasi integritas sumber daya sub yang lengkap (SRI), bahkan jika JavaScript dimanipulasi, hal ini dapat menghindari serangan semacam itu.
Keterbatasan dompet perangkat keras: Dalam menangani transaksi yang kompleks, dompet perangkat keras tidak dapat sepenuhnya memecahkan dan menampilkan data transaksi rinci dari dompet tanda tangan ganda, yang mengakibatkan penandatangan melakukan "tanda tangan buta".
Kepercayaan berlebihan pada front-end: Platform perdagangan terlalu percaya pada front-end dompet multi-tanda tangan, mengabaikan verifikasi kedua terhadap konten transaksi yang sebenarnya.
Saran Keamanan
Untuk mencegah serangan serupa, langkah-langkah berikut dapat diambil:
Melaksanakan verifikasi tanda tangan terstruktur EIP-712:
Data yang dapat diverifikasi dihasilkan di front-end
Verifikasi tanda tangan kontrak pintar, memastikan bahwa setiap pemalsuan parameter akan menyebabkan transaksi otomatis dibatalkan
Upgrade firmware dompet keras, mendukung analisis semantik yang lebih canggih:
Meningkatkan kemampuan analisis terhadap transaksi kompleks
Menerapkan pencocokan semantik paksa di blockchain
Meningkatkan keamanan layanan cloud:
Mengelola akses ke layanan cloud seperti AWS dengan ketat
Audit dan pemantauan rutin terhadap perubahan sumber daya kunci
Mekanisme verifikasi ganda:
Memperkenalkan verifikasi multipihak dalam operasi kunci
Menggunakan data on-chain dan off-chain untuk memverifikasi konten transaksi
Audit keamanan yang berkelanjutan:
Melakukan evaluasi keamanan secara menyeluruh secara berkala
Menggunakan alat bantu AI canggih untuk audit kode kontrak pintar
Kesimpulan
Tantangan keamanan di bidang Web3 semakin kompleks, memerlukan peningkatan kemampuan perlindungan secara menyeluruh dari berbagai aspek seperti keamanan perangkat, verifikasi transaksi, hingga mekanisme pengendalian risiko. Pengembang front-end harus melakukan verifikasi yang ketat pada setiap tahap, termasuk akses DApp, koneksi dompet, tanda tangan pesan, dan tanda tangan transaksi. Hanya dengan membangun garis pertahanan keamanan yang komprehensif, kita dapat benar-benar melindungi nilai dan kepercayaan setiap transaksi di dunia Web3 yang terbuka.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
6
Posting ulang
Bagikan
Komentar
0/400
StablecoinArbitrageur
· 07-20 03:24
*menyesuaikan spreadsheet* secara statistik, ini tidak terhindarkan mengingat koefisien risiko dalam implementasi multisig...
Lihat AsliBalas0
DeFiAlchemist
· 07-17 16:08
numerologi suci memperingatkan kita... transmutasi 1,46B tidak terhindarkan
Lihat AsliBalas0
OnchainArchaeologist
· 07-17 04:03
Jauh dari kenyataan, benar-benar rugi kali ini
Lihat AsliBalas0
CryptoMotivator
· 07-17 04:01
Capek, memancing lagi.
Lihat AsliBalas0
LiquidationWizard
· 07-17 03:58
Apa ada orang sebodoh itu yang bisa menandatangani secara buta?
Serangan hacker terbesar dalam sejarah Web3: 1,46 miliar dolar aset dicuri, analisis mendalam tentang kerentanan Dompet Multi Tanda Tangan
Analisis Serangan Hacker Terbesar dalam Sejarah Web3
Pada 21 Februari 2025, dompet dingin Ethereum dari sebuah platform perdagangan terkenal mengalami serangan keamanan yang serius. Penyerang menggunakan metode phishing yang dirancang dengan baik untuk membujuk penandatangan dompet multisignature untuk menandatangani transaksi jahat, mengakibatkan sekitar 1,46 miliar dolar AS aset kripto dipindahkan ke alamat yang tidak diketahui.
Tinjauan Proses Serangan
Langkah utama penyerang adalah sebagai berikut:
Penelitian menemukan
Perusahaan keamanan Sygnia yang ditugaskan untuk melakukan investigasi forensik telah merilis laporan awal, temuan utama termasuk:
Analisis Kerentanan Keamanan
Kejadian ini mengungkapkan berbagai masalah keamanan di berbagai tingkat:
Keamanan penyimpanan awan: Ember penyimpanan AWS S3 yang telah dimanipulasi menunjukkan adanya celah dalam kontrol akses layanan awan.
Verifikasi keamanan frontend yang tidak memadai: Jika frontend dompet multi-tanda tangan menerapkan verifikasi integritas sumber daya sub yang lengkap (SRI), bahkan jika JavaScript dimanipulasi, hal ini dapat menghindari serangan semacam itu.
Keterbatasan dompet perangkat keras: Dalam menangani transaksi yang kompleks, dompet perangkat keras tidak dapat sepenuhnya memecahkan dan menampilkan data transaksi rinci dari dompet tanda tangan ganda, yang mengakibatkan penandatangan melakukan "tanda tangan buta".
Kepercayaan berlebihan pada front-end: Platform perdagangan terlalu percaya pada front-end dompet multi-tanda tangan, mengabaikan verifikasi kedua terhadap konten transaksi yang sebenarnya.
Saran Keamanan
Untuk mencegah serangan serupa, langkah-langkah berikut dapat diambil:
Meningkatkan keamanan layanan cloud:
Mekanisme verifikasi ganda:
Audit keamanan yang berkelanjutan:
Kesimpulan
Tantangan keamanan di bidang Web3 semakin kompleks, memerlukan peningkatan kemampuan perlindungan secara menyeluruh dari berbagai aspek seperti keamanan perangkat, verifikasi transaksi, hingga mekanisme pengendalian risiko. Pengembang front-end harus melakukan verifikasi yang ketat pada setiap tahap, termasuk akses DApp, koneksi dompet, tanda tangan pesan, dan tanda tangan transaksi. Hanya dengan membangun garis pertahanan keamanan yang komprehensif, kita dapat benar-benar melindungi nilai dan kepercayaan setiap transaksi di dunia Web3 yang terbuka.