Tsunami Retasan DeFi 2022, Penyebab dan Tindakan Pencegahannya

Sejak kemunculannya lebih dari satu dekade lalu, ruang DeFi telah menjadi sangat penting dalam evolusi sektor keuangan. Keuangan terdesentralisasi memperkenalkan aset virtual, kontrak pintar, tata kelola DAO, dan penawaran lain yang memfasilitasi operasi berbasis blockchain.

Model DeFi dan komponennya menghilangkan kebutuhan akan entitas terpusat sebagai perantara selama operasi keuangan. Krisis ekonomi tahun 2008 mendorong terciptanya sistem keuangan baru yang menempatkan pengguna dalam kendali atas aset mereka. Selama beberapa tahun terakhir, sektor DeFi telah berkembang pesat; banyak manfaatnya telah menyebabkannya mengumpulkan jutaan peserta di seluruh dunia. Menurut Chainalysis, nilai total pasar yang dikunci terakhir mencapai puncaknya pada $256 miliar, suatu angka yang cukup besar.

Namun, dengan perluasan keseluruhan keuangan terdesentralisasi, muncul tingkat risiko yang signifikan. Lebih banyak proyek DeFi yang terbuka untuk dieksploitasi oleh pelaku ancaman, dan empat bulan terakhir tahun 2022 telah memperjelas hal ini lebih dari sebelumnya. Chainalysis melaporkan bahwa protokol DeFi menyumbang 97% mengejutkan dari crypto yang dicuri tahun ini.

Peretas Lazarus membuat sejarah lebih dari sebulan yang lalu setelah mereka melakukan eksploitasi $625 juta di jembatan Ronin Axie Infinity, pencurian terbesar yang pernah dilihat oleh blockchain dan ruang crypto.

Kami akan melihat peningkatan besar dalam peretasan dan eksploitasi yang terjadi pada tahun 2022. Bagaimana cara kerja DeFi, dan mengapa sektor ini menjadi target utama? Apakah mungkin untuk menghentikan dana pengguna agar tidak membocorkan lubang apa pun yang ditemukan oleh peretas?

Untuk mengatasi berbagai aspek dari topik ini, kita harus menetapkan beberapa poin inti. Memulai dengan;


Apa itu eksploitasi DeFi, dan bagaimana hal itu terjadi?

---

Peretasan atau eksploitasi terjadi ketika aktor jahat berhasil memanfaatkan celah atau kerentanan dalam kontrak pintar atau sistem keamanan protokol atau platform DeFi; individu atau kelompok memperoleh akses pintu belakang ke dana pengguna, biasanya mengakibatkan pencurian aset tersebut.

Pelaku cyber telah menjaring hingga $1,3 miliar cryptocurrency curian pada kuartal pertama tahun ini. Angka yang sangat besar dibandingkan dengan $ 154 juta tahun 2021 yang hilang di Q1. Seperti yang dilaporkan Wall Street, para peretas telah mencapai ini dengan memukul industri dengan peretasan seminggu.

Antara tahun 2020 dan 2021, jumlah peretasan meningkat menjadi dua kali lipat dari nilai awal, dari 117 menjadi 250; tidak dapat dipungkiri bahwa eksploitasi DeFi menjadi fenomena biasa. Pada tahun-tahun sejak keuangan terdesentralisasi menjadi sesuatu, peretas telah menggunakan serangkaian metode, beberapa yang telah digunakan dalam empat bulan terakhir meliputi;

Pelanggaran Keamanan

Pelanggaran keamanan terjadi ketika aktor siber memperoleh akses yang tidak sah ke sistem dan data platform. Chainalysis menggambarkannya sebagai "crypto-equivalent of pick-pocketing," perusahaan analitik juga mengatakan serangan ini berada di belakang 35% dari semua dana crypto yang dicuri dari tahun 2020 hingga saat ini.

Eksploitasi Ronin adalah contohnya, saat peretas melakukan pencurian dengan mengambil alih 5 dari 9 node validator sidechain.


Serangan Pinjaman Flash
Pada tanggal 18 Februari, proyek DeFi berbasis Ethereum, Beanstalk, menjadi korban eksploitasi tata kelola yang menghabiskannya sebesar $ 182 juta.

Penyerang dapat melakukan pelanggaran dengan mengambil pinjaman $1 miliar dari platform pinjaman AAVE; mereka kemudian membeli token BEAN asli dalam jumlah besar dan menguasai 67% tata kelola proyek. Peretas memberi lampu hijau pada dua proposal jahat yang sebelumnya mereka keluarkan dan mengalirkan dana ke dompet eksternal.

Peretas memperoleh pinjaman kilat, sejumlah besar dana yang disimpan peminjam untuk waktu yang singkat tanpa perlu agunan. Pinjaman kilat dimaksudkan untuk tujuan yang lebih etis, tetapi seperti dalam kasus Kebun Pohon Kacang, aktor jahat dapat menggunakan uang itu untuk mengambil keuntungan dari pembukaan kontrak pintar atau, dalam kursus yang khas, memanipulasi harga pasar untuk mendapatkan keuntungan. Serangan pinjaman kilat hanyalah salah satu contoh eksploitasi kode.




Eksploitasi Lintas Rantai


Pihak-pihak jahat telah melakukan beberapa perampokan terbesar tahun 2022 dengan menargetkan jembatan lintas rantai. Untuk memahami bagaimana eksploitasi kode semacam ini dapat terjadi, pertama-tama kita harus mempertimbangkan target mereka, jembatan lintas rantai.

Jembatan rantai silang dapat digambarkan sebagai jalur antara dua jaringan blockchain. Mereka memfasilitasi transfer aset antar blockchain; namun, dalam prosesnya, sejumlah besar dana diikat di satu tempat, membuatnya menarik bagi peretas.

Contoh penyerang yang mengeksploitasi kerentanan lintas rantai adalah pada bulan Februari dengan jembatan blockchain Wormhole Portal. Serangan itu membuat platform kehilangan $ 325 juta dan telah berkontribusi pada meningkatnya kritik terhadap teknologi lintas rantai.


Mengapa Peretasan DeFi Meningkat

---

Peningkatan Adopsi DeFi

Alasan pertama dan paling jelas untuk meningkatnya serangan adalah bahwa industri keuangan yang terdesentralisasi telah berkembang menjadi target yang menarik. Saat basis pengguna sektor ini berkembang, ratusan proyek telah memulai debutnya, dan hanya ada lebih banyak dana untuk dicuri. Arus kas meningkat, dan orang-orang jahat sangat menyadari hal ini.

Peraturan & Tindakan Keamanan yang Tidak Memadai

Menurut data di papan peringkat Rekt, 8 dari 10 proyek yang menjadi korban eksploitasi terbesar belum menjalani audit keamanan. Audit keamanan memerlukan tinjauan komprehensif kode protokol untuk menemukan bug dan kemungkinan celah dalam kontrak pintar. Ini biasanya terjadi sebelum proyek diluncurkan dan membentuk aspek keamanan utama dalam keuangan terdesentralisasi. Dengan penilaian ancaman semacam ini, pengembang dapat mengurangi potensi serangan dan mengurangi risiko investor.



Kerentanan Kontrak Cerdas/Kesalahan Pengkodean

---

Efek lain yang tidak menguntungkan dari peningkatan popularitas DeFi adalah masuknya proyek-proyek yang dirancang dengan buruk secara besar-besaran. Penyerang bukan satu-satunya individu yang telah memperhatikan sifat menguntungkan dari keuangan terdesentralisasi. Banyak yang ingin berpartisipasi dalam industri yang berkembang ini, dan pengembang yang tidak memenuhi syarat tampaknya tidak keberatan untuk memulai proyek mereka sendiri.

Penjahat dunia maya diketahui memanfaatkan kode sumber terbuka dari protokol DeFi. Peretas membutuhkan waktu untuk mencari kerentanan kritis untuk dieksploitasi, dan dengan pengembang yang tidak kompeten membuat proyek yang dibangun dengan buruk, ini tidak sulit ditemukan.

Teknologi Kompleks

Ekosistem DeFi menggabungkan berbagai komponen, yang seiring dengan perkembangan industri selama bertahun-tahun, telah berevolusi bersamanya. Sektor keuangan terdesentralisasi mengejar peningkatan kemudahan penggunaan dan aksesibilitas sambil memberikan pengguna dengan pengembalian yang substansial. Aplikasi yang lebih kompleks (seperti jembatan rantai silang) rentan terhadap eksploitasi, dan kekurangan potensial mudah diabaikan.


Implikasi dari Eksploitasi Rush of DeFi 2022

---

Peretas, investor, dan pengembang sama-sama mengikuti uang saat mereka mengalihkan perhatian mereka ke industri keuangan yang terdesentralisasi. Ini menunjukkan bahwa, seperti yang dikatakan sebelumnya, industri telah mengalami peningkatan yang signifikan. Namun, peretasan tidak hanya menunjukkan bahwa penyerang dan individu lain mengikuti dana tersebut.

Dalam sebuah wawancara dengan Yahoo Finance, Mitchell Amador, pendiri, dan CEO perusahaan keamanan blockchain Immunefi menyatakan bahwa peserta DeFi harus mengharapkan serangan canggih seperti ini untuk tumbuh lebih umum. Pelaku ancaman seperti peretas Lazarus Korea Utara sedang membangun lebih banyak keahlian kejahatan dunia maya secara internal.

Penting untuk dicatat bahwa peningkatan peretasan adalah transisi dari penipuan yang tampaknya mendominasi industri tahun lalu. Peserta DeFi telah menjadi lebih sadar akan metode penipuan dan dengan demikian dapat menghindarinya. Pelanggaran keamanan dan eksploitasi kode adalah ancaman yang lebih signifikan sekarang, dan kebutuhan akan keamanan jatuh pada platform dan protokol.

Keteraturan peretasan yang mengkhawatirkan merupakan ancaman serius bagi seluruh sektor DeFi; hal ini menimbulkan pertanyaan tentang keandalan keuangan terdesentralisasi dan dapat menghambat pertumbuhan industri. Mari kita lihat beberapa cara platform dapat mencegah peretasan.

Langkah-Langkah untuk Menghindari Peretasan

Salah satu aspek kunci yang harus diperhatikan adalah keamanan kontrak pintar. Audit terjadwal dari kode proyek apa pun akan sangat membantu dalam mencegah peretasan karena membantu pengembang menemukan kerentanan dan celah yang dapat mereka selesaikan tepat waktu.

Tentu saja, ini tidak dapat mencegah 100% serangan yang memerlukan tindakan tambahan seperti analisis blockchain yang dapat membantu peneliti menemukan pergerakan pasar yang mencurigakan. Chainalyis memberikan data tentang bagaimana peretas mencuci dana pasca-pencurian selama beberapa tahun terakhir.


Informasi tersebut memberikan gambaran arus kas, yang dapat membantu analis melacak dana yang dicuri untuk membantu pemulihan. Melalui ini, tim pengembang Axie Infinity, Sky Mavis, telah memulihkan sebagian kecil dari dana yang dicuri.

Penting untuk dicatat peran sentralisasi dalam peretasan ini. Peretasan Ronin menghidupkan kembali diskusi tentang perlunya desentralisasi sejati di DeFi. Validasi terpusat (hanya sembilan node validator) membuat jembatan rentan. Setelah serangan itu, menjadi jelas bahwa desentralisasi lebih dari sekadar bentuk ideologi tetapi kebutuhan praktis untuk keamanan blockchain.


Penulis: Pengamat Gate.io M. Olatunji
Penafian:
* Artikel ini hanya mewakili pandangan para pengamat dan bukan merupakan saran investasi.
*Gate.io memiliki semua hak atas artikel ini. Pengeposan ulang artikel akan diizinkan asalkan Gate.io dirujuk. Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta