Decentralized finance (DeFi) mengalami lonjakan pencurian terbesar sektor yang baru dan masih berkembang, menjadikannya target yang menarik bagi pencuri.
Eksploitasi Poly Network, yang menghasilkan lebih dari $610 juta dalam koin kripto yang tersedot, bukan hanya serangan DeFi terbesar tahun ini, tetapi yang terbesar dalam semua sejarah DeFi.
Tahun ini peretas berhasil lolos dengan $4,25 miliar. Itu hampir tiga kali lipat dari tahun 2020, ketika sekitar $ 1,49 miliar aset crypto dicuri. Comparitech mengumpulkan data untuk menunjukkan bahwa pada tahun 2021 terjadi enam dari sepuluh peretasan crypto paling mahal sepanjang masa. cara mereka mencuri crypto tahun ini adalah melalui peretasan protokol keuangan terdesentralisasi (DeFi) dengan itu saja terhitung $ 1,4 miliar dari total dana crypto yang dicuri tahun ini.
Pertumbuhan popularitas token non-fungible (NFT) juga telah mendorong aktivitas baru di mana aktor jahat menemukan cara baru dan inovatif untuk mengelabui orang agar membeli aset digital palsu atau berinvestasi dalam penipuan.
Poly Network $610 juta dicuri pada Agustus 2021
Seorang peretas ‘topi putih’ melakukan peretasan cryptocurrency tunggal terbesar tahun ini, mengklaim telah melakukannya untuk mengekspos lubang keamanan dalam kontrak pintar ‘rantai silang’ yang digunakan oleh perusahaan.
Perusahaan kemudian menangguhkan transaksi dan memperbaiki bug, bahkan ketika bernegosiasi dengan peretas dan pertukaran untuk membekukan cryptocurrency yang dicuri untuk sementara. Seluruh jumlah yang dicuri diambil kembali selama seminggu. Mereka menawarkan pekerjaan dan hadiah $500.000, yang ditolak oleh peretas tetapi kemudian mengeluh karena tidak mendapatkan hadiah.
Poly Network adalah platform keuangan terdesentralisasi (DeFi) yang memungkinkan pengguna untuk meminjamkan, meminjam, dan memperdagangkan mata uang kripto dengan keuntungan. Kontrak pintar dibangun ke dalam token kripto, dengan persyaratan yang dijalankan sendiri yang menentukan apa yang harus dilakukan token dalam keadaan yang berbeda, misalnya, menjual ke entitas X seharga $17,99 jika harga turun di bawah $18.
Platform lintas rantai memungkinkan pengguna untuk bertransaksi di blockchain yang sama sekali berbeda, tetapi teknologinya masih berkembang, menjadikannya target yang menarik untuk diretas. Sejumlah peretasan kripto baru-baru ini menargetkan platform kripto DeFi yang menggunakan teknologi lintas rantai.
BitMart – $196 juta dicuri pada Desember 2021
Perusahaan mengatakan $ 100 juta dari kerugian itu ada di blockchain Ethereum, yang paling sering menjadi sasaran peretasan terbesar tahun ini.
CEO BitMart Sheldon Xia mengumumkan bahwa mereka akan berbicara dengan tim proyek crypto untuk mengidentifikasi solusi, dan menggunakan dana perusahaan sendiri untuk memberi kompensasi kepada pengguna yang terpengaruh.
Dompet panas digunakan oleh pertukaran crypto seperti BitMart, untuk menyimpan bagian paling likuid dari aset digital mereka, untuk transaksi yang lebih cepat atas nama pengguna. Dompet dingin, di sisi lain, menyimpan aset digital secara offline tanpa paparan internet, sehingga kurang rentan terhadap peretas.
Boy X Highspeed (BXH) – $139 juta dicuri pada November 2021
Kunci administrator yang bocor kehilangan BXH sebagian besar kepemilikan mereka di Binance Smart Chain (BSC). Penarikan pada blockchain BSC mereka ditangguhkan pada hari yang sama, dilanjutkan hanya empat minggu kemudian. Penyisiran keamanan mereka memakan waktu seminggu, dengan semua celah keamanan diklaim dapat dihilangkan dalam waktu dua minggu setelah serangan.
CEO mereka dan PeckShield, seorang peneliti keamanan blockchain independen, berspekulasi bahwa eksploitasi ini bisa menjadi ‘pekerjaan orang dalam’. Perusahaan menawarkan hadiah hingga $ 10 juta untuk mengidentifikasi para peretas, meskipun tidak ada pengumuman lebih lanjut mengenai identifikasi.
Vulcan Forged – $135 juta dicuri pada Desember 2021
Peretas membantu diri mereka sendiri ke kunci pribadi dompet crypto dari 96 pengguna, dari total 6501 pada saat itu. Mereka kemudian mencuri 9% dari semua token PYR yang tersedia (4,5 juta PYR), meninggalkan kerugian $135 juta. Pengguna yang terkena dampak telah dijanjikan penggantian dari cadangan perusahaan sendiri.
CEO Jamie Thomson mengatakan mereka akan menggunakan dompet terdesentralisasi, untuk mencegah masalah seperti itu di masa depan. Perusahaan telah memberikan hadiah sebesar $500.000 untuk mengidentifikasi peretas, dan juga berkoordinasi dengan bursa besar untuk mencoba dan mencegah peretas menjual token yang dicuri.
Vulcan Forged menyebut dirinya sebagai studio game GameFi yang membuat game play-to-earn (P2E) seperti Vulcan Verse dan Vulcan Chess, yang beroperasi menggunakan token PYR dan NFT mereka sendiri. Ini menjalankan pasar NFT untuk memungkinkan pemain menguangkan, dan pertukaran terdesentralisasi (DEX) untuk memperdagangkan cryptocurrency. Studio merencanakan peningkatan untuk mata uang PYR, tetapi peretasan menurunkan harganya sebesar 26% menurunkan kapitalisasi pasarnya sebesar 35%.
Cream Finance – $130 juta dicuri pada Oktober 2021
Dalam serangan yang mengeksploitasi fasilitas pinjaman kilatnya, peretas berhasil mencuri semua aset likuid yang dimiliki platform di blockchain Ethereum.
Perusahaan mengeluarkan pernyataan bahwa kerentanan telah ditambal dengan bantuan komunitas, dan bahwa aset blockchain mereka yang lain tidak terpengaruh. Dalam waktu kurang dari sebulan, perusahaan mengumumkan kompensasi untuk pengguna yang terkena dampak dari kantong mereka sendiri, yang didanai oleh alokasi token tim mereka.
KRIM. Finance, yang merupakan platform pinjaman DeFi, melaporkan tiga serangan lain tahun ini – pada bulan September ($18,8 juta), Agustus ($29 juta), dan Februari ($37 juta) – menambah kerugian sebesar $215 juta.
Badger DAO – $120 juta dicuri pada Desember 2021
Peretas mencuri aset berbasis Bitcoin dan Ethereum dari lusinan dompet pengguna, dalam serangan yang direncanakan secara strategis kode berbahaya disuntikkan ke front-end situs web platform hampir sebulan sebelumnya.
PeckShield mengidentifikasi kerugian terbesar 896 Bitcoin dari satu dompet yang bernilai $44 juta dengan harga saat ini. DAO telah menangguhkan aktivitas setelah mengetahui serangan itu, tetapi menyelesaikan penyelidikannya dalam seminggu dan kembali ke operasi normal. Komunitas Badger sedang mempertimbangkan rencana untuk memulihkan dana yang hilang, dan solusi untuk mengganti kerugian.
Liquid Global – $97 juta dicuri pada Agustus 2021
Peretas memperoleh akses ke dompet panas Liquid, menjarah Ether, Bitcoin, XRP, dan 66 mata uang lainnya. Aset berbasis Ethereum menyumbang lebih dari 78% dari kerugian.
Peretas mengalihkan sebagian dari jarahan mereka melalui platform terdesentralisasi seperti UniSwap, sementara aset yang ditransfer ke bursa kripto besar lainnya dibekukan atas permintaan Liquid. Bursa Jepang melanjutkan perdagangan setelah mentransfer dana yang tidak terpengaruh ke dompet dingin, dan meningkatkan keamanan untuk menerapkan brankas yang aman.
Pada akhir Agustus, Liquid mengatakan tidak akan ada dampak pada saldo pengguna. Untuk mengkompensasi pengguna dan menutupi kerugian mereka sendiri, perusahaan mengumpulkan $ 120 juta sebagai pinjaman dari pertukaran crypto FTX.
EasyFi – $80 juta dicuri pada April 2021
Seorang peretas menargetkan perangkat komputasi pendiri untuk mendapatkan kunci adminnya dan mentransfer mata uang ke dirinya sendiri. Kerugian awal adalah $6 juta stablecoin dan EASY senilai $120 juta, token asli dari proyek EasyFi.
Dampaknya pada pengguna terbatas ketika harga token EASY turun 50% dalam skenario likuiditas rendah, sehingga menyulitkan peretas untuk menjual tokennya. Selain itu, token ditingkatkan menjadi ‘EZ 2.0’ empat hari kemudian, membuat kepemilikan peretas tidak berguna. Dalam blognya, pendiri Ankitt Gaur menulis bahwa pengguna yang terkena dampak akan diberi kompensasi, 25% dalam bentuk stablecoin dan 75% sebagai token IOU.
AscendEX – $77,7 juta dicuri pada Desember 2021
Peretas membobol dompet panas AscendEX, pertukaran cryptocurrency yang berbasis di Singapura. Menurut perusahaan keamanan blockchain PeckShield, hampir 77% dari total kerugian terdiri dari aset berdasarkan blockchain Ethereum.
Pertukaran mengkonfirmasi bahwa dompet dingin mereka tidak terpengaruh, dan bahwa setiap pengguna yang terpengaruh akan “dilindungi sepenuhnya.” Layanan penyetoran dan penarikan ditangguhkan untuk peninjauan keamanan, tetapi layanan perdagangan telah dilanjutkan dalam seminggu. Perusahaan mengumumkan pada 23 Desember bahwa penyetoran dan penarikan telah dilanjutkan untuk sebagian besar mata uang utama.
bZx – $55 million stolen in November 2021
Dimulai sebagai serangan phishing sederhana dalam dokumen Word, peretas berhasil mengakses kunci pribadi platform dan ‘meningkatkan’ kontrak pintar untuk mentransfer dana. Sebagian besar kerugian berada di jaringan Polygon dan Binance Smart Chain (BSC), sementara infrastruktur terdesentralisasi mereka mengalami kerugian yang relatif lebih rendah dalam mata uang Ethereum.
platform bZx memberi tahu proyek dan pertukaran crypto lainnya untuk membekukan cryptocurrency yang dicuri. Perusahaan meminta perusahaan keamanan Kaspersky untuk menyelidiki, yang percaya para peretas adalah Grup Lazarus yang memiliki hubungan dengan Korea Utara.
Bahkan saat mereka terus melacak dana dan bekerja dengan lembaga penegak hukum, komunitas telah menyetujui rencana kompensasi untuk membantu mereka yang menderita kerugian akibat peretasan. bZx DAO (organisasi otonom terdesentralisasi) menyebut dirinya sebagai platform DeFi untuk perdagangan margin dan pinjaman.
Selengkapnya : Bussines Insider
