Ruang Web3 identik dengan kebebasan dari lembaga terpusat yang ingin terlibat dalam transaksi Anda. Salah satu alasan pihak ketiga ini mengganggu transaksi terpusat adalah untuk keamanan aset yang ditransfer dan pihak yang terlibat dalam transaksi. Meskipun dunia Web3 aman, beberapa kekhawatiran keamanan tetap ada.

Ruang kripto memperkenalkan cara baru untuk memindahkan aset, yang akan datang dengan cara baru dan kreatif untuk mencuri aset tersebut. Serangan cetak tak terbatas adalah salah satu cara yang lebih inovatif untuk mencuri aset dan mengganggu sebuah proyek.

Hacker telah menggunakan serangan pencetakan tak terbatas untuk mencuri jutaan dari proyek-proyek kripto, di antaranya beberapa proyek masih berusaha pulih. Untuk mengatasi hal ini, kita perlu memahami apa itu serangan pencetakan tak terbatas, bagaimana cara kerjanya, dan bagaimana kita dapat melindungi diri dari serangan tersebut.

Apa itu Serangan Infinite Mint?

Protokol keuangan terdesentralisasi (DeFi) adalah yang paling terpengaruh oleh serangan cetak tak terbatas. Proyek DeFi menggunakan kontrak pintar untuk mengotomatisasi tata kelola, dan kontrak pintar tersebut adalah sumber terbuka, artinya siapa pun dapat melihat bagaimana cara kerjanya. Jika kontrak tidak ditulis dan diamankan dengan benar, peretas dapat melihatnya dan dengan mudah menemukan kerentanan untuk dieksploitasi.

Ketika para peretas melakukan serangan cetak tak terbatas, mereka memanfaatkan kesalahan untuk merusak kontrak proyek. Mereka secara khusus menargetkan fungsi cetak kontrak, yang mengontrol berapa banyak koin yang dicetak. Para peretas memberi tahu kontrak untuk mencetak token baru jauh melebihi batas yang diizinkan, yang akan menurunkan nilai token.

Serangan mint tak terbatas berlangsung dengan cepat. Penyerang meretas sistem, memanipulasi kontrak, mencetak koin baru, dan menjualnya dengan cepat. Biasanya, koin-koin tersebut ditukar dengan aset yang lebih berharga seperti Bitcoin (BTC) atau stablecoin seperti USDC. Proses ini diulang begitu sering dalam waktu singkat sehingga ketika pasar menyesuaikan diri, koin-koin yang mereka jual untuk mendapatkan keuntungan sebelumnya sekarang hampir tak berharga.

Bagaimana Serangan Cetak Tanpa Batas Bekerja?

Hacker sangat terampil saat melakukan serangan cetak tak terbatas.Serangan ini cepat dan tepat, dan tergantung pada kemacetan jaringan dan waktu respons platform, serangan dapat terjadi dalam beberapa menit. Serangan pencetakan tak terbatas memiliki empat langkah utama, yaitu:

1. Mengidentifikasi Kerentanan

Untuk terjadinya serangan, harus ada celah (kerentanan) dalam proyek, dan penyerang tahu persis di mana harus memeriksanya, yaitu kontrak pintar. Kontrak pintar adalah cara bagi proyek terdesentralisasi untuk berfungsi tanpa pihak ketiga yang usil. Ini secara otomatis menegakkan kesepakatan antara dua pihak.

Kontrak pintar tidak dapat diubah; setelah disepakati, mereka tidak dapat diubah. Peretas memanfaatkan ketidakberubahannya ini, bersama dengan sifat open-source kontrak. Karena kontrak pintar transparan, peretas dapat mempelajarinya untuk menemukan kerentanan dan kemudian mengeksploitasi mereka.

1. Eksploitasi Kerentanan

Hacker biasanya mencari kerentanan dalam fungsi cetak kontrak. Begitu mereka menemukan satu, mereka membuat transaksi yang akan membuat kontrak cerdas melewati pemeriksaan dan keseimbangan standar dan kemudian mencetak koin berlebih.

Transaksi yang dibuat bisa saja hanya mengeksekusi fungsi tertentu, menyesuaikan parameter, atau bahkan memanfaatkan koneksi yang tidak diketahui antara segmen kode yang berbeda.

1. Penambangan dan Dumping Tanpa Batas

Dengan kontrak pintar yang dieksploitasi, para penyerang dapat mencetak sebanyak mungkin token baru yang mereka inginkan, lalu menjualnya di pasar.

Pemompaan token terjadi dengan cepat. Pasar dibanjiri dengan token baru, dan serangan biasanya menukar token dengan stablecoin. Token yang dibuang mengalami penurunan nilai yang serius setelah pasar menyesuaikan transaksi.

1. Realisasi Keuntungan

Setelah merendahkan token, para penyerang mendapatkan keuntungan dari tahap terakhir serangan pencetakan tak terbatas. Meskipun koin telah kehilangan nilai, pasar tidak menyesuaikan nilainya secepat token merendah sehingga para penyerang dapat menukar token yang sekarang hampir tak berharga dengan stablecoin dan keuntungan atas biaya pemegang token.

Para penyerang menjadi kreatif dalam langkah ini. Mereka bisa mendapatkan keuntungan dengan beberapa cara, salah satunya adalah dengan menjualnya di bursa, menjualnya dengan harga tinggi sebelum pasar bereaksi terhadap penjualan tersebut. Mereka juga bisa melakukan arbitrase, membandingkan platform-platform berbeda untuk menemukan tempat di mana harga belum menyesuaikan kemudian menjual token-token tersebut di sana. Serangan juga bisa menguras likuiditas pool dengan menukar token baru yang dicetak dengan stablecoin di pool.

Sumber: pexels

Contoh Serangan Cetak Tanpa Batas

Dengan munculnya Web3, tidak lepas dari kontribusi Bitcoin, juga terjadi lonjakan serangan; yang pertama adalah yang mencolok adalah hack Mg.Goxpada tahun 2011. Sejak saat itu, peretasan telah menjadi lebih canggih; sekarang, kita memiliki peretasan seperti serangan pencetakan tak terbatas. Berikut beberapa contoh serangan pencetakan tak terbatas:

Serangan Protokol Cover

Protokol Penutup adalah proyek DeFi yang dibuat untuk memberikan asuransi kepada proyek DeFi lain dalam kasus kerentanan kontrak pintar, serangan, dan lainnya. Pada Desember 2020, mereka diserang dengan serangan cetak tak terbatas. Penyerang(s) mencuri satu juta DAI, 1.400 ether, dan 90 WBTC, dengan total lebih dari $4 juta.

Penyerang dapat menyerang setelah memanipulasi kontrak pintar Cover untuk mencetak token sebagai imbalan. The kesalahanyang mereka manfaatkan terkait dengan penyalahgunaan memori dan penyimpanan dalam bahasa pemrograman. Dengan ini, mereka dapat mencetak40 quintillion COVERtoken, dan dalam beberapa jam, mereka bisa menjual hingga $5 juta dalam COVER. Dalam waktu 24 jam, nilai token Cover turun 75%.

Beberapa jam kemudian, hacker topi putihyang bernama Grap Finance mengaku bertanggung jawab atas serangan melalui sebuahX post. Hacker juga menyatakan bahwa tidak ada keuntungan yang diperoleh dari serangan tersebut dan bahwa semua dana telah dikembalikan ke Cover.

Serangan Jaringan Terbayar

Jaringan Paid.) adalah platform keuangan terdesentralisasi (DeFi) yang dibuat untuk membuat kontrak lebih mudah. Ini akan mengotomatisasi dan memecah kesepakatan hukum dan bisnis menggunakan kekuatan teknologi blockchain. Pada awal 2021, pengguna jaringan Paid melihat masalah: jaringan telah diserang. Para penyerang memanfaatkan kerentanan dalam kontrak pencetakan. Para penyerang mencetak dan membakar token. Mereka bisa mencetak jutaan token PAID dan mengonversi 2,5 juta ke ETH sebelum serangan berakhir.

Para penyerang meninggalkan PAID dengan kerugian sebesar $180 juta dan 85% nilainya hilang. Beberapa pengguna mencurigai jaringan Paid, dan mereka mengira serangan itu adalah tarikan karpetNamun, setelah jaringan Berbayar dapat mengganti semua pengguna yang terkena dampak, kecurigaan ini dibersihkan.

Serangan Jembatan BNB

Jembatan BNBmemungkinkan pengguna untuk melakukan transfer lintas rantai. Dengan itu, pengguna dapat memindahkan aset dari Rantai Beacon Binance ke Rantai Pintar Binance (BSC). Di Oktober 2022, Jembatan BNB diserang dengan serangan pencetakan tak terbatas. Para penyerang memanfaatkan bug dalam kontrak dan mencetak 2 juta $BNB; ini sejumlah $586 juta.

Para penyerang berhasil mencetak BNB langsung ke dompet mereka. Mereka juga memilih untuk tidak menukar token dan tidak ingin memindahkannya dari Binance. Sebagai gantinya, mereka menggunakan BNB sebagai jaminan untuk mendapatkan pinjaman yang akan dikirim ke jaringan yang berbeda. Untungnya, validator Binance menghentikan serangan tersebut, tetapi smart chain harus ditutup untuk sementara waktu.

Serangan Ankr

Ankrdiciptakan untuk mengembangkan web3. Ankr adalah infrastruktur berbasis blockchain dengan kemampuan DeFi.Pada tahun 2022, itu diretas. Para peretas mendapatkan kunci pribadi yang dikembangkan dan memproses untuk meningkatkan kontrak pintar. Ini memungkinkan mereka mencetak 6sixquadrillion token aBNBc, yang kemudian dikonversi menjadi 5 juta USDC. Akibat serangan ini, Ankr kehilangan $5 juta dan harus menghentikan penarikan ANKR di Binance.

Bagaimana Mencegah Serangan Cetak Tak Terbatas

Pengembang proyek kripto perlu menempatkan keselamatan di atas daftar mereka saat membuat proyek. Ekonomi terdesentralisasi berubah setiap hari; ada banyak inovasi, tetapi para peretas juga inovatif. Perlu lebih banyak penekanan pada pencegahan daripada mitigasi.

Pengembang perlu menerapkan beberapa langkah untuk mencegah peretasan seperti serangan pencetakan tak terbatas. Satu langkah dalam keamanan kontrak pintar adalah melakukan pemeriksaan menyeluruh auditsering. Audit adalah proses pemeriksaan kode kontrak pintar untuk kerentanan yang dapat dieksploitasi. Idealnya, audit ini tidak boleh internal tetapi ditangani oleh profesional keamanan pihak ketiga yang terpercaya.

Langkah lainnya adalah untuk memperketat kontrol akses ke kontrol pencetakan. Jika terlalu banyak orang yang memiliki akses, lebih mudah untuk disusupi dan dieksploitasi. Proyek juga dapat menggunakan multi-tanda tangandompet. Ini meningkatkan keamanan karena dengan ini, Anda akan membutuhkan beberapa kunci pribadi untuk mengakses akun.

Akhirnya, proyek-proyek harus mengingat pentingnya Pemantauandankomunikasi. Mereka seharusnya memiliki alat pemantauan mutakhir untuk mendeteksi ketidakberesan segera setelah dimulai. Jika mereka memiliki saluran komunikasi terbuka dengan bursa, proyek lain, dan komunitas kripto, mereka dapat mengantisipasi setiap serangan dan merencanakan pertahanan.

Masa Depan Keamanan Kontrak Pintar di Dunia Kripto

Dengan munculnya kontrak pintar, juga harus ada sesuatu untuk memandu penggunaannya. Dalam hal ini, kita lebih memperhatikankeamanansehingga pengguna tidak terpengaruh selama pelanggaran. Hal pertama yang dapat kita lakukan adalah memberi saran kepada proyek-proyek untuk tetap aman. Mereka dapat mengikuti langkah-langkah yang tercantum pada subjudul terakhir. Masalahnya adalah beberapa proyek mungkin tidak mengikuti saran tersebut, dan hukum tentang kontrak pintar sangat sedikit. Jadi, kemana kita harus pergi dari sini?

Kontrak pintar adalah hal baru, dan hukum belum mengejar mereka. Saat ini, dua hal teratas yang perlu dipertimbangkan adalah penegakan dan yurisdiksi. Dengan kontrak pintar dibuat di blockchain untuk layanan terdesentralisasi, dapatkah hukum menegakkan aturannya pada mereka? Ada undang-undang dan kasus-kasus pengadilan mengenai kripto, tetapi kontrak pintar belum cukup dibahas.

Sekarang, tentang yurisdiksiPertanyaannya adalah, bagaimana hukum menegaskan pertanggungjawaban proyek jika ada perbedaan dalam hukum? Apa yang legal di Amerika Serikat mungkin ilegal di Inggris. Untuk menyelesaikan masalah ini, harus ada kerangka regulasi yang secara tegas menangani keamanan kontrak pintar. Para ahli dalam teknologi blockchain dan hukum seharusnya bekerja sama sehingga konsensus dapat dicapai.

Masih ada sedikit harapan untuk bertahan. Pada tahun 2023 jumlahnyaPeretasan DeFi berkurang lebih dari 50%, jika peraturan ini diberlakukan maka akan ada lebih sedikit serangan peretasan secara global.

Kesimpulan

Untuk menyimpulkan, serangan cetak tak terbatas sangat strategis dan cepat. Begitu penyerang mulai, mereka dapat mencetak jutaan koin dalam beberapa menit, tetapi serangan dapat dicegah jika tindakan keamanan yang tepat diambil.

Masih ada beberapa langkah yang perlu dilakukan untuk menciptakan kerangka hukum yang tepat untuk melindungi proyek-proyek dan penggunanya dari serangan infinite mint. Saat ini, proyek-proyek keuangan terdesentralisasi (DeFi) harus lebih aman dan waspada.