Menurut laporan keamanan industri Web3 terbaru dari Gate Research, total 40 kejadian keamanan terjadi pada bulan Januari, mengakibatkan kerugian sekitar $87,94 juta. Kejadian-kejadian tersebut bervariasi, dengan pelanggaran akun menjadi ancaman utama, menyebabkan 52% dari total kerugian. Laporan tersebut menganalisis secara mendalam kejadian-kejadian keamanan kunci, termasuk serangan hacker terhadap pertukaran Phemex, kerentanan keamanan utama yang mempengaruhi NoOnes, dan kebocoran kunci pribadi yang memengaruhi Moby. Retas akun dan kerentanan kontrak pintar diidentifikasi sebagai risiko keamanan paling signifikan dalam bulan tersebut, menegaskan perlunya langkah-langkah keamanan yang ditingkatkan dalam industri ini.

Ringkasan Eksekutif

• Pada Januari 2025, industri Web3 mengalami 40 insiden keamanan, menyebabkan kerugian sekitar $87.94 juta, menandai peningkatan signifikan dari bulan sebelumnya.
• Metode serangan utama bulan ini melibatkan kerentanan kontrak pintar dan pelanggaran akun.
• Hacks akun tetap menjadi ancaman utama, menyumbang 52% dari total kerugian dalam industri kripto.
• Kerugian terbesar terjadi pada blockchain publik utama, termasuk BSC, Ethereum, dan Solana.
• Insiden kunci bulan ini termasuk serangan hacker pada pertukaran Phemex, yang mengakibatkan kerugian $70 juta, kerentanan keamanan utama yang mempengaruhi NoOnes, menyebabkan kerugian $7,2 juta, dan kebocoran kunci pribadi di Moby, menyebabkan kerugian $2,5 juta.

Ikhtisar Insiden Keamanan

Menurut data Slowmist, terdapat 40 kejadian keamanan yang tercatat pada Januari 2025, dengan total kerugian mencapai $87,94 juta. Serangan tersebut terutama melibatkan kerentanan kontrak pintar, pelanggaran akun, dan metode lainnya. Dibandingkan dengan Desember 2024, total kerugian meningkat 20 kali lipat dari bulan ke bulan. Pelanggaran akun menjadi penyebab utama serangan, dengan 21 kejadian yang dilaporkan menyumbang 52% dari total. Akun dan situs web resmi X tetap menjadi target utama untuk para peretas.[1]

Distribusi insiden keamanan bulan ini di sepanjang ekosistem public chain menunjukkan bahwa enam proyek yang terkena dampak - AST, BUIDL, FortuneWheel, HORS, IPC, dan Mosca - semuanya merupakan bagian dari ekosistem BSC (Binance Smart Chain), dengan total kerugian melebihi $600,000. Sementara itu, lima proyek yang terkena dampak - Moonray, UniLend, SuperVerse, Sorra, dan LAURA - termasuk dalam ekosistem Ethereum (ETH), dengan kerugian gabungan lebih dari $280,000. Holoworld AI dan DAWN adalah proyek-proyek dalam ekosistem Solana yang mengalami insiden keamanan. Insiden-insiden ini menyoroti perlunya meningkatkan keamanan di seluruh proyek ekosistem public chain. Mengingat serangan dan kerentanan yang sering terjadi, BSC harus menekankan audit kontrak pintar, mekanisme pengendalian risiko, dan alat pemantauan on-chain untuk meningkatkan standar keamanan secara keseluruhan.

Beberapa proyek blockchain mengalami insiden keamanan besar-besaran bulan ini, yang mengakibatkan kerugian finansial yang signifikan. Kasus-kasus terkemuka termasuk peretasan pertukaran Phemex, menyebabkan kerugian $70 juta; kerentanan keamanan NoOnes, yang menyebabkan kerugian $7,2 juta; kebocoran kunci privat Moby, yang mengakibatkan kerugian $2,5 juta.

Insiden Keamanan Besar pada Bulan Januari

Menurut pengungkapan resmi, proyek-proyek berikut mengalami kerugian melebihi $79.7 juta pada bulan Januari. Kejadian-kejadian ini menyoroti bahwa pelanggaran akun dan kerentanan kontrak pintar adalah ancaman utama.

• Dalam insiden peretasan Phemex, pelaku secara bersamaan mengekstraksi sejumlah besar aset dari berbagai rantai, memprioritaskan konversi stablecoin yang dapat dibekukan (seperti USDC dan USDT). Setelah itu, token lain dilikuidasi berdasarkan nilai. Tindakan ini tidak terskrip tetapi dilakukan secara manual, dengan aset secara manual dikirim ke alamat baru untuk konversi. Setelah selesai, dana tersebut ditransfer ke alamat baru lainnya.
• Dompet panas NoOnes mengalami ratusan transaksi mencurigakan, masing-masing melibatkan kurang dari $7,000. CEO NoOnes Ray Youssef mengonfirmasi di saluran Telegram bahwa peretasan terjadi pada 1 Januari karena kerentanan di jembatan lintas rantai Solana mereka.
• Moby mengalami kebocoran kunci pribadi yang diduga. Peretas memodifikasi dan menjalankan kontrak, menggunakan fungsi emergencyWithdrawERC20 untuk menarik 207 ETH, 3,7 BTC, dan 1.470.191 USDC, dengan total nilai sekitar $2,5 juta.

Phemex

Ikhtisar Proyek: Phemex adalah bursa derivatif cryptocurrency yang berbasis di Singapura. Didirikan pada tahun 2019 oleh mantan eksekutif Morgan Stanley. Bursa ini dikenal karena biaya rendah, likuiditas tinggi, dan pertumbuhan yang cepat, menawarkan grafik yang mudah digunakan dan antarmuka dompet.

Gambaran Kejadian: Phemex diserang pada 23 Januari, kehilangan lebih dari $70 juta cryptocurrency. Serangan ini tampaknya mengikuti pola yang mirip dengan eksploitasi kerentanan di bursa kripto terkemuka lainnya. Peneliti Keamanan Utama MetaMask, Taylor Monahan, menyatakan, "Penyerang mengekstraksi sejumlah besar aset dari beberapa rantai secara bersamaan, memprioritaskan konversi stablecoin yang dapat dibekukan (seperti USDC dan USDT). Setelah itu, token lain dilikuidasi berdasarkan nilai. Tindakan ini tidak di-script namun dilakukan secara manual. Aset-aset itu kemudian dikirim secara manual ke alamat baru untuk dikonversi. Setelah selesai, mereka ditransfer ke alamat baru lainnya. Aset-aset tersebut kemudian disimpan hingga tim pencucian uang yang tepat akan menariknya dalam beberapa minggu atau bulan mendatang."[2]

Rekomendasi Pasca-Insiden:

• Pemantauan lintas-rantai dan Pengenalan Pola Anomali: Implementasikan sistem pemantauan real-time yang mendukung aliran aset lintas rantai, mengintegrasikan analisis perilaku berbasis AI untuk mengidentifikasi fitur aneh dari operasi manual non-scripted (seperti transfer aset besar di seluruh rantai dalam waktu singkat, perubahan alamat yang sering, dll.). Alert ambang dinamis harus diatur untuk mendeteksi ketidakberaturan ini.
• Membangun Jaringan Peringatan Risiko Tingkat Industri: Membangun saluran komunikasi instan dengan penerbit stablecoin utama seperti USDT dan USDC. Menandatangani perjanjian pre-otorisasi yang memungkinkan pertukaran untuk memicu permintaan pembekuan aset melalui antarmuka API begitu serangan dikonfirmasi, sehingga mempersingkat waktu tanggap.
• Manajemen Hybrid Dompet Panas dan Dingin Terdistribusi: Gunakan dompet dingin multi-tanda tangan untuk menyimpan lebih dari 90% aset sambil mengalokasikan batas dompet panas secara dinamis sesuai kebutuhan. Gunakan teknologi sharding kunci untuk mendistribusikan penyimpanan kunci, mencegah titik-titik kegagalan tunggal yang dapat menyebabkan kerugian global.

Tidak ada

Gambaran Proyek: NoOnes adalah super aplikasi komunikasi keuangan yang memberdayakan orang dengan menghubungkan mereka ke percakapan global (obrolan) dan sistem keuangan dunia (pembayaran). Orang-orang di negara berkembang sekarang akan dapat mengirim pesan kepada siapa pun dengan bebas, berdagang dengan sekitar 250 metode pembayaran di pasar lokal mereka, dan melakukan pembayaran antar individu - semuanya dapat dilakukan menggunakan dompet Bitcoin yang berfungsi sebagai penyimpan nilai.

Ikhtisar Kejadian: Pada 1 Januari 2025, NoOnes diserang di Ethereum, Tron, Solana, dan BSC, mengakibatkan kerugian sekitar $7,2 juta. Dompet panas NoOnes mengalami ratusan transaksi mencurigakan, masing-masing melibatkan jumlah di bawah $7.000. CEO NoOnes Ray Youssef mengonfirmasi di saluran Telegram mereka bahwa peretasan terjadi pada 1 Januari karena kerentanan di jembatan lintas Solana mereka. Platform tersebut sejak itu menutup jembatan Solana yang terpengaruh dan menyatakan bahwa tidak akan memulihkan dukungan Solana sampai tes penetrasi komprehensif selesai dilakukan.[3]

Rekomendasi Pasca-Insiden:

• Perkuat Audit Keamanan Jembatan Cross-Chain: Disarankan untuk melakukan audit keamanan komprehensif pada semua jembatan cross-chain, terutama berfokus pada kerentanan dalam kontrak pintar dan protokol cross-chain. Sewa perusahaan keamanan pihak ketiga untuk pengujian penetrasi dan tinjauan kode guna memastikan keamanan jembatan.
• Menerapkan Mekanisme Tanda Tangan Multi dan Penyimpanan Dompet Dingin: Untuk mengurangi risiko serangan dompet panas, mengadopsi mekanisme tanda tangan multi (Multi-Sig) memerlukan persetujuan dari beberapa pihak sebelum menyelesaikan transfer besar. Selain itu, sebagian besar dana disimpan di dompet dingin, hanya menyisakan sebagian kecil di dompet panas untuk transaksi harian.
• Memperkenalkan Sistem Pemantauan Real-Time dan Sistem Peringatan Transaksi Anomali: Menerapkan sistem pemantauan transaksi real-time untuk melacak dan menganalisis aktivitas dompet panas. Menyiapkan peringatan untuk transaksi yang anomali, seperti transfer melebihi ambang batas tertentu atau sejumlah besar transaksi kecil yang terjadi dengan cepat. Peringatan ini harus secara otomatis memicu dan menghentikan fungsi transaksi.

Moby

Gambaran Proyek: Moby adalah protokol opsi on-chain yang didukung oleh model SLE (Synchronized Liquidity Engine), menawarkan spread terkecil, likuiditas tertinggi, dan UI/UX tingkat Robinhood.

Gambaran Kejadian: Protokol opsi on-chain Moby mengalami kebocoran kunci pribadi yang diduga, memungkinkan penyerang untuk memodifikasi dan mengeksekusi kontrak, menggunakan fungsi emergencyWithdrawERC20 untuk menarik 207 ETH, 3,7 BTC, dan 1.470.191 USDC, dengan total nilai sekitar $2,5 juta. Moby memposting di platform X menyatakan bahwa, untuk melindungi aset pengguna dalam situasi saat ini lebih lanjut, merekomendasikan mencabut transaksi persetujuan yang valid terkait dengan alamat-alamat berikut: PositionManager, SettleManager, sRewardRouterV2, dan mRewardRouterV2. Moby menyebutkan bahwa langkah-langkah ini adalah langkah pencegahan untuk memastikan keamanan dompet dan upaya sedang dilakukan untuk mengembalikan dan memelihara lingkungan yang stabil dan aman[4].

Rekomendasi Pasca-Insiden:

• Mendirikan Manajemen Izin Tanda Tangan Multi-Lapisan: Tingkatkan penyimpanan kunci pribadi menjadi dompet dingin tingkat perangkat keras + solusi tanda tangan multi, memisahkan izin pengembangan dari kontrol dana. Tambahkan kunci waktu dan validasi ganda tata kelola DAO ke fungsi kritis dari kontrak inti (seperti emergencyWithdrawERC20) , menetapkan penundaan eksekusi selama 72 jam untuk operasi penting, dengan konfirmasi komunitas tanda tangan ganda yang diperlukan.
• Bangun Sistem Pemantauan Otorisasi Dinamis: Mengembangkan dasbor pelacakan waktu nyata otorisasi on-chain yang terintegrasi ke dalam antarmuka pengguna, menampilkan semua izin interaksi kontrak dan tingkat risiko. Menerapkan bot pencabutan otorisasi otomatis yang akan memicu pencabutan otomatis tingkat kontrak pintar ketika transfer besar yang abnormal atau anomali kontrak terdeteksi.
• Mendirikan Sistem Respon Pemutus Darurat Keamanan: Menerapkan modul deteksi transaksi anomali berbasis pembelajaran mesin dan menetapkan aturan kontrol risiko multi-dimensi (ambang batas waktu/frekuensi/jumlah) untuk fungsi sensitif seperti emergencyWithdrawKembangkan tombol jeda darurat, yang secara otomatis membekukan kontrak dan memulai proses validasi node penuh ketika dipicu oleh anomali.

Kesimpulan

Pada Januari 2025, beberapa proyek DeFi mengalami serangan kerentanan keamanan, yang mengakibatkan kerugian jutaan dolar dalam aset. Kejadian-kejadian ini termasuk serangan hacker pada pertukaran Phemex, kerentanan keamanan utama yang mempengaruhi NoOnes, dan kebocoran kunci pribadi di Moby. Peristiwa-peristiwa ini mengekspos risiko-risiko kritis terkait keamanan kontrak cerdas, komposabilitas protokol lintas rantai, dan manajemen kolam likuiditas. Industri dengan mendesak perlu memperkuat audit kontrak cerdas, memperkenalkan pemantauan real-time, dan menerapkan mekanisme pertahanan multi-lapisan untuk meningkatkan keamanan platform dan memperkuat kepercayaan pengguna. Gate.io mengingatkan pengguna untuk tetap terkini mengenai perkembangan keamanan, memilih platform-platform yang dapat dipercaya, dan memperkuat perlindungan aset pribadi.


Referensi:

1. Slowmist,https://hacked.slowmist.io/id/statistics
2. X,https://x.com/wublockchain12/status/1882605904761340362
3. X,https://x.com/wublockchain12/status/1883310710132035999
4. X,https://x.com/BeosinAlert/status/1877180521710596452

Penelitian Gate
Gate Research adalah platform riset blockchain dan kripto yang komprehensif, menyediakan pembaca dengan konten yang mendalam, termasuk analisis teknis, wawasan terbaru, ulasan pasar, riset industri, ramalan tren, dan analisis kebijakan makroekonomi.

Klik tombol Tautanuntuk belajar lebih lanjut

Penyangkalan
Investasi di pasar cryptocurrency melibatkan risiko tinggi, dan disarankan agar pengguna melakukan penelitian independen dan sepenuhnya memahami sifat aset dan produk yang merekapembeliansebelum membuat keputusan investasi apa pun.Gate.iotidak bertanggung jawab atas kerugian atau kerusakan yang disebabkan oleh keputusan investasi tersebut.