Tahun ini, para peretas telah mencuri lebih dari 2 miliar dolar AS dari aplikasi enkripsi. Baru-baru ini, industri mengalami dua insiden pencurian besar: layanan pertukaran cepat dari suatu platform perdagangan kehilangan lebih dari 21 juta dolar AS, dan jembatan lintas rantai dari suatu blockchain publik diserang dengan kerugian sekitar 5,66 juta dolar AS.
Seiring dengan perkembangan ekosistem enkripsi, pertempuran keamanan hanya akan semakin intens. Artikel ini akan:
Mengajukan metode klasifikasi kejadian keamanan enkripsi
Sebutkan metode serangan yang paling menguntungkan saat ini
Menilai kelebihan dan kekurangan alat pertahanan saat ini
Membahas perkembangan masa depan keamanan enkripsi
I. Jenis Serangan Hacker
Ekosistem aplikasi enkripsi terdiri dari protokol interoperabilitas, didukung oleh kontrak pintar, dan bergantung pada infrastruktur blockchain dan jaringan yang mendasarinya. Setiap lapisan dalam tumpukan teknologi ini memiliki kerentanan unik. Kita dapat mengklasifikasikan serangan siber berdasarkan level target serangan dan metode yang digunakan.
serangan infrastruktur
Serangan semacam ini memanfaatkan kelemahan sistem dasar, termasuk blockchain yang digunakan untuk konsensus, layanan jaringan frontend, dan alat manajemen kunci privat.
menyerang bahasa kontrak pintar
Serangan lapisan ini memanfaatkan kelemahan dan celah dari bahasa kontrak pintar ( seperti Solidity) itu sendiri, seperti reentrancy dan implementasi pemanggilan delegasi yang berbahaya, yang dapat dihindari dengan mengikuti praktik terbaik keamanan.
logika protokol serangan
Serangan semacam ini menargetkan kesalahan logika bisnis pada aplikasi tunggal. Hacker mungkin menemukan dan memanfaatkan kesalahan, memicu perilaku yang tidak terduga dari pengembang.
Misalnya, jika sebuah bursa terdesentralisasi yang baru memiliki kesalahan dalam rumus perhitungan keuntungan transaksi pengguna, hal itu dapat dimanfaatkan untuk membuat pengguna mendapatkan keuntungan yang melebihi tingkat normal.
Serangan tingkat logika protokol juga dapat menargetkan sistem pemerintahan aplikasi.
serangan ekosistem
Banyak serangan peretas kripto terkenal memanfaatkan interaksi antara beberapa aplikasi. Yang paling umum adalah peretas memanfaatkan kesalahan logika dalam suatu protokol, sambil menggunakan dana yang dipinjam dari protokol lain untuk memperbesar skala serangan.
Serangan jenis ini biasanya melibatkan pinjaman kilat. Saat menjalankan pinjaman kilat, penyerang dapat meminjam sejumlah besar dana dari kolam likuiditas beberapa protokol.
Dua, Analisis Data
Saya mengumpulkan data 100 serangan peretasan aset kripto terbesar sejak 2020, dengan total dana yang dicuri mencapai 5 miliar dolar.
Serangan ekosistem paling sering terjadi, mencapai 41%.
Kerugian dana yang disebabkan oleh celah logika dalam protokol adalah yang paling banyak.
Tiga serangan dengan jumlah terbesar: serangan jembatan lintas rantai sebesar 16,24 juta dolar AS (, serangan jaringan sebesar 16,11 juta dolar AS ), dan serangan jembatan lintas rantai sebesar 15,7 juta dolar AS (.
Jika mengesampingkan tiga serangan terbesar, maka kerugian dana yang disebabkan oleh serangan infrastruktur adalah yang paling banyak.
![Berjalan di hutan gelap enkripsi, Anda membutuhkan panduan pencurian Crypto ini])022/10/9/images/5aa642028ff5c409ae7f0720ae562d9e.png(
Tiga, Metode Serangan Umum yang Digunakan oleh Hacker
) Infrastruktur
61% dari kerentanan infrastruktur melibatkan kebocoran kunci pribadi melalui cara yang tidak diketahui. Hacker mungkin mendapatkan kunci pribadi ini melalui teknik rekayasa sosial seperti email phishing dan iklan lowongan pekerjaan palsu.
( bahasa kontrak pintar
Serangan reentrancy adalah jenis serangan yang paling umum di tingkat kontrak pintar.
Dalam serangan reentrancy, fungsi dalam kontrak pintar yang rentan memanggil fungsi pada kontrak jahat. Atau, ketika kontrak yang rentan mengirimkan token ke kontrak jahat, dapat memicu fungsi dalam kontrak jahat. Kemudian, sebelum kontrak memperbarui saldonya, fungsi jahat memanggil kembali fungsi yang rentan dalam siklus rekursif.
Misalnya, dalam serangan peretasan suatu protokol, fungsi untuk mengekstrak token jaminan mudah direintrusi dan dipanggil berulang kali ) setiap kali kontrak jahat menerima token ###, sampai semua jaminan habis.
logika protokol
Kebanyakan celah di tingkat protokol adalah unik untuk aplikasi tertentu, karena setiap aplikasi memiliki logika yang unik ( kecuali itu adalah fork murni ).
Kesalahan kontrol akses adalah masalah yang paling umum muncul berulang kali dalam kelompok sampel. Misalnya, dalam suatu insiden peretasan jaringan, kontrak manajemen lintas rantai memiliki fungsi yang dapat dipanggil oleh siapa saja untuk melakukan transaksi lintas rantai.
Perlu dicatat bahwa kadang-kadang beberapa protokol yang menggunakan teknologi yang sama dapat diserang oleh peretas, karena tim membagi repositori kode yang memiliki kerentanan.
Misalnya, beberapa fork dari suatu protokol pinjaman menjadi korban serangan reentrancy, karena kode protokol asli tidak memeriksa efek interaksi sebelum mengizinkan interaksi. Ini dapat dilakukan untuk protokol asli karena mereka memeriksa kerentanan dari setiap token dukungan baru, tetapi tim fork tidak melakukannya.
Ekosistem
98% dari serangan ekosistem menggunakan pinjaman kilat.
Serangan pinjaman kilat biasanya mengikuti pola berikut: menggunakan pinjaman untuk melakukan transaksi besar-besaran, meningkatkan harga token di pembuat pasar otomatis yang digunakan sebagai oracle harga untuk protokol pinjaman. Kemudian, dalam transaksi yang sama, menggunakan token yang membesar sebagai jaminan, mendapatkan pinjaman jauh di atas nilai sebenarnya.
Empat, Target Rantai Serangan Hacker
Analisis data berdasarkan blockchain tempat kontrak atau dompet yang diserang berada. Jumlah serangan hacker yang dialami Ethereum adalah yang terbanyak, menyumbang 45% dari sampel. Sebuah blockchain publik berada di urutan kedua dengan pangsa 20%.
Ada banyak faktor yang menyebabkan situasi ini:
Ethereum dan beberapa blockchain publik memiliki total nilai terkunci tertinggi, sehingga lebih menarik bagi peretas.
Sebagian besar pengembang Aset Kripto familiar dengan Solidity, yaitu bahasa kontrak pintar di Ethereum dan beberapa blockchain lainnya, dan memiliki dukungan alat pengembangan yang lebih matang.
Dana yang dicuri dari Ethereum mencapai maksimum ###20 miliar dolar (. Sebuah blockchain publik menempati posisi kedua dengan )8.78 miliar dolar (.
Serangan yang melibatkan jembatan lintas rantai atau aplikasi multirantai memiliki dampak besar pada dataset. Meskipun kejadian peretasan semacam ini hanya menyumbang 10% dari total, mereka telah mencuri dana sebesar 2,52 miliar dolar.
![Berjalan di hutan gelap enkripsi, Anda memerlukan panduan anti-pencurian Crypto ini])022/10/9/images/ead9c91649e37e85413ab00998a91e2b.png(
Lima, Metode untuk Mencegah Serangan Hacker
Untuk setiap lapisan pada tumpukan teknologi, kita dapat menggunakan beberapa alat untuk dengan cepat mengidentifikasi potensi vektor serangan dan mencegah terjadinya serangan.
) Infrastruktur
Sebagian besar serangan peretasan infrastruktur besar melibatkan pengambilan informasi sensitif seperti kunci pribadi. Mengikuti langkah-langkah keamanan operasi yang baik (OPSEC) dan melakukan pemodelan ancaman secara berkala dapat mengurangi kemungkinan kejadian ini. Tim pengembang dengan proses OPSEC yang baik dapat:
Mengenali data sensitif ### kunci pribadi, informasi karyawan, kunci API, dll (
Temukan celah dan kelemahan dalam pertahanan keamanan yang ada
Menentukan tingkat ancaman untuk setiap kerentanan
Menyusun dan melaksanakan rencana untuk mengurangi ancaman
) bahasa kontrak pintar dan logika protokol
Alat Pengujian Fuzz
Alat pengujian fuzzing dapat menguji bagaimana kontrak pintar bereaksi terhadap sejumlah besar transaksi yang dihasilkan secara acak. Ini adalah cara yang baik untuk mendeteksi kasus tepi di mana input tertentu menghasilkan hasil yang tidak terduga.
Analisis Statis
Alat analisis statis dapat secara otomatis mendeteksi kerentanan dalam kontrak pintar. Alat-alat ini sangat cocok untuk dengan cepat menemukan kerentanan umum, tetapi mereka hanya dapat menangkap satu set masalah yang telah ditentukan sebelumnya.
Verifikasi Formal
Alat verifikasi formal akan membandingkan kontrak pintar dengan spesifikasi yang ditulis oleh pengembang. Spesifikasi ini merinci apa yang seharusnya dilakukan oleh kode dan atribut yang diperlukan.
Kekurangan verifikasi formal adalah pengujian hanya dapat mencapai standar spesifikasi. Jika spesifikasi yang diberikan tidak menjelaskan perilaku tertentu atau terlalu longgar, maka proses verifikasi tidak akan mampu menangkap semua kesalahan.
Audit dan Tinjauan Sejawat
Selama audit atau tinjauan sejawat, sekelompok pengembang tepercaya akan menguji dan meninjau kode proyek. Auditor akan menulis laporan yang merinci kerentanan yang ditemukan, serta saran tentang cara memperbaiki masalah ini.
Menggunakan kontrak audit oleh pihak ketiga yang profesional adalah cara yang baik untuk menemukan celah yang terlewat oleh tim asli. Namun, auditor juga manusia, dan mereka tidak akan pernah dapat menangkap semua celah. Selain itu, diperlukan kepercayaan terhadap auditor, percaya bahwa mereka akan memberi tahu dengan jujur setelah menemukan masalah, dan bukan memanfaatkan celah tersebut sendiri.
Serangan ekosistem
Meskipun serangan ekosistem adalah jenis yang paling umum dan paling merusak, tetapi alat yang ada saat ini sangat sedikit yang dirancang khusus untuk mencegah serangan semacam ini. Alat keamanan otomatis biasanya hanya fokus pada kesalahan dalam satu kontrak. Audit sering kali tidak dapat menyelesaikan bagaimana memanfaatkan interaksi antara beberapa protokol dalam ekosistem.
Beberapa alat pemantauan dapat memberikan peringatan awal saat serangan kombinasi terjadi, sehingga tim dapat mengambil tindakan. Namun, dalam serangan pinjaman kilat, dana biasanya dicuri dalam satu transaksi, sehingga peringatan apa pun mungkin sudah terlambat, dan tidak dapat mencegah kerugian besar.
Model deteksi ancaman dapat digunakan untuk menemukan transaksi jahat di dalam mempool, mengintersepsi sebelum node memprosesnya, tetapi peretas dapat mengirimkan transaksi langsung ke penambang melalui layanan tertentu, sehingga menghindari pemeriksaan ini.
Enam, Masa Depan Keamanan Enkripsi
Untuk masa depan keamanan enkripsi, saya memiliki dua prediksi:
tinjauan sejawat
Lakukan analisis statis dan pemrosesan fuzz pada setiap kode baru dalam repositori utama.
Melakukan verifikasi resmi untuk setiap peningkatan besar
Membangun sistem pemantauan dan peringatan dengan respons yang dapat menghentikan seluruh aplikasi atau modul tertentu yang terpengaruh ###
Biarkan beberapa anggota tim bertanggung jawab untuk merancang dan memelihara rencana otomatisasi keamanan dan respons terhadap serangan
Pekerjaan keamanan tidak seharusnya berakhir setelah audit. Dalam banyak kasus, kerentanan didasarkan pada kesalahan yang diperkenalkan selama peningkatan setelah audit.
Proses komunitas keamanan enkripsi dalam menghadapi serangan hacker akan menjadi lebih terorganisir dan efisien. Di masa depan, kelompok terkait mungkin akan bertransformasi menjadi bentuk organisasi yang lebih teratur:
Menggunakan alat pemantauan on-chain dan pemantauan media sosial untuk mendeteksi serangan aktif dengan cepat
Mengkoordinasikan pekerjaan dengan menggunakan alat manajemen informasi dan kejadian yang aman
Mengambil alur kerja yang independen, menggunakan saluran yang berbeda untuk berkomunikasi tentang pekerjaan Black and White客, analisis data, penyebab dasar, dan tugas lainnya
 dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Kedalaman Situasi Keamanan Enkripsi: Perang Serang dan Pertahanan di Balik Pencurian 2 Miliar Dolar
Mendalami Situasi Keamanan Aset Kripto
Tahun ini, para peretas telah mencuri lebih dari 2 miliar dolar AS dari aplikasi enkripsi. Baru-baru ini, industri mengalami dua insiden pencurian besar: layanan pertukaran cepat dari suatu platform perdagangan kehilangan lebih dari 21 juta dolar AS, dan jembatan lintas rantai dari suatu blockchain publik diserang dengan kerugian sekitar 5,66 juta dolar AS.
Seiring dengan perkembangan ekosistem enkripsi, pertempuran keamanan hanya akan semakin intens. Artikel ini akan:
I. Jenis Serangan Hacker
Ekosistem aplikasi enkripsi terdiri dari protokol interoperabilitas, didukung oleh kontrak pintar, dan bergantung pada infrastruktur blockchain dan jaringan yang mendasarinya. Setiap lapisan dalam tumpukan teknologi ini memiliki kerentanan unik. Kita dapat mengklasifikasikan serangan siber berdasarkan level target serangan dan metode yang digunakan.
serangan infrastruktur
Serangan semacam ini memanfaatkan kelemahan sistem dasar, termasuk blockchain yang digunakan untuk konsensus, layanan jaringan frontend, dan alat manajemen kunci privat.
menyerang bahasa kontrak pintar
Serangan lapisan ini memanfaatkan kelemahan dan celah dari bahasa kontrak pintar ( seperti Solidity) itu sendiri, seperti reentrancy dan implementasi pemanggilan delegasi yang berbahaya, yang dapat dihindari dengan mengikuti praktik terbaik keamanan.
logika protokol serangan
Serangan semacam ini menargetkan kesalahan logika bisnis pada aplikasi tunggal. Hacker mungkin menemukan dan memanfaatkan kesalahan, memicu perilaku yang tidak terduga dari pengembang.
Misalnya, jika sebuah bursa terdesentralisasi yang baru memiliki kesalahan dalam rumus perhitungan keuntungan transaksi pengguna, hal itu dapat dimanfaatkan untuk membuat pengguna mendapatkan keuntungan yang melebihi tingkat normal.
Serangan tingkat logika protokol juga dapat menargetkan sistem pemerintahan aplikasi.
serangan ekosistem
Banyak serangan peretas kripto terkenal memanfaatkan interaksi antara beberapa aplikasi. Yang paling umum adalah peretas memanfaatkan kesalahan logika dalam suatu protokol, sambil menggunakan dana yang dipinjam dari protokol lain untuk memperbesar skala serangan.
Serangan jenis ini biasanya melibatkan pinjaman kilat. Saat menjalankan pinjaman kilat, penyerang dapat meminjam sejumlah besar dana dari kolam likuiditas beberapa protokol.
Dua, Analisis Data
Saya mengumpulkan data 100 serangan peretasan aset kripto terbesar sejak 2020, dengan total dana yang dicuri mencapai 5 miliar dolar.
Serangan ekosistem paling sering terjadi, mencapai 41%.
Kerugian dana yang disebabkan oleh celah logika dalam protokol adalah yang paling banyak.
Tiga serangan dengan jumlah terbesar: serangan jembatan lintas rantai sebesar 16,24 juta dolar AS (, serangan jaringan sebesar 16,11 juta dolar AS ), dan serangan jembatan lintas rantai sebesar 15,7 juta dolar AS (.
Jika mengesampingkan tiga serangan terbesar, maka kerugian dana yang disebabkan oleh serangan infrastruktur adalah yang paling banyak.
![Berjalan di hutan gelap enkripsi, Anda membutuhkan panduan pencurian Crypto ini])022/10/9/images/5aa642028ff5c409ae7f0720ae562d9e.png(
Tiga, Metode Serangan Umum yang Digunakan oleh Hacker
) Infrastruktur
61% dari kerentanan infrastruktur melibatkan kebocoran kunci pribadi melalui cara yang tidak diketahui. Hacker mungkin mendapatkan kunci pribadi ini melalui teknik rekayasa sosial seperti email phishing dan iklan lowongan pekerjaan palsu.
( bahasa kontrak pintar
Serangan reentrancy adalah jenis serangan yang paling umum di tingkat kontrak pintar.
Dalam serangan reentrancy, fungsi dalam kontrak pintar yang rentan memanggil fungsi pada kontrak jahat. Atau, ketika kontrak yang rentan mengirimkan token ke kontrak jahat, dapat memicu fungsi dalam kontrak jahat. Kemudian, sebelum kontrak memperbarui saldonya, fungsi jahat memanggil kembali fungsi yang rentan dalam siklus rekursif.
Misalnya, dalam serangan peretasan suatu protokol, fungsi untuk mengekstrak token jaminan mudah direintrusi dan dipanggil berulang kali ) setiap kali kontrak jahat menerima token ###, sampai semua jaminan habis.
logika protokol
Kebanyakan celah di tingkat protokol adalah unik untuk aplikasi tertentu, karena setiap aplikasi memiliki logika yang unik ( kecuali itu adalah fork murni ).
Kesalahan kontrol akses adalah masalah yang paling umum muncul berulang kali dalam kelompok sampel. Misalnya, dalam suatu insiden peretasan jaringan, kontrak manajemen lintas rantai memiliki fungsi yang dapat dipanggil oleh siapa saja untuk melakukan transaksi lintas rantai.
Perlu dicatat bahwa kadang-kadang beberapa protokol yang menggunakan teknologi yang sama dapat diserang oleh peretas, karena tim membagi repositori kode yang memiliki kerentanan.
Misalnya, beberapa fork dari suatu protokol pinjaman menjadi korban serangan reentrancy, karena kode protokol asli tidak memeriksa efek interaksi sebelum mengizinkan interaksi. Ini dapat dilakukan untuk protokol asli karena mereka memeriksa kerentanan dari setiap token dukungan baru, tetapi tim fork tidak melakukannya.
Ekosistem
98% dari serangan ekosistem menggunakan pinjaman kilat.
Serangan pinjaman kilat biasanya mengikuti pola berikut: menggunakan pinjaman untuk melakukan transaksi besar-besaran, meningkatkan harga token di pembuat pasar otomatis yang digunakan sebagai oracle harga untuk protokol pinjaman. Kemudian, dalam transaksi yang sama, menggunakan token yang membesar sebagai jaminan, mendapatkan pinjaman jauh di atas nilai sebenarnya.
Empat, Target Rantai Serangan Hacker
Analisis data berdasarkan blockchain tempat kontrak atau dompet yang diserang berada. Jumlah serangan hacker yang dialami Ethereum adalah yang terbanyak, menyumbang 45% dari sampel. Sebuah blockchain publik berada di urutan kedua dengan pangsa 20%.
Ada banyak faktor yang menyebabkan situasi ini:
Dana yang dicuri dari Ethereum mencapai maksimum ###20 miliar dolar (. Sebuah blockchain publik menempati posisi kedua dengan )8.78 miliar dolar (.
Serangan yang melibatkan jembatan lintas rantai atau aplikasi multirantai memiliki dampak besar pada dataset. Meskipun kejadian peretasan semacam ini hanya menyumbang 10% dari total, mereka telah mencuri dana sebesar 2,52 miliar dolar.
![Berjalan di hutan gelap enkripsi, Anda memerlukan panduan anti-pencurian Crypto ini])022/10/9/images/ead9c91649e37e85413ab00998a91e2b.png(
Lima, Metode untuk Mencegah Serangan Hacker
Untuk setiap lapisan pada tumpukan teknologi, kita dapat menggunakan beberapa alat untuk dengan cepat mengidentifikasi potensi vektor serangan dan mencegah terjadinya serangan.
) Infrastruktur
Sebagian besar serangan peretasan infrastruktur besar melibatkan pengambilan informasi sensitif seperti kunci pribadi. Mengikuti langkah-langkah keamanan operasi yang baik (OPSEC) dan melakukan pemodelan ancaman secara berkala dapat mengurangi kemungkinan kejadian ini. Tim pengembang dengan proses OPSEC yang baik dapat:
) bahasa kontrak pintar dan logika protokol
Alat pengujian fuzzing dapat menguji bagaimana kontrak pintar bereaksi terhadap sejumlah besar transaksi yang dihasilkan secara acak. Ini adalah cara yang baik untuk mendeteksi kasus tepi di mana input tertentu menghasilkan hasil yang tidak terduga.
Alat analisis statis dapat secara otomatis mendeteksi kerentanan dalam kontrak pintar. Alat-alat ini sangat cocok untuk dengan cepat menemukan kerentanan umum, tetapi mereka hanya dapat menangkap satu set masalah yang telah ditentukan sebelumnya.
Alat verifikasi formal akan membandingkan kontrak pintar dengan spesifikasi yang ditulis oleh pengembang. Spesifikasi ini merinci apa yang seharusnya dilakukan oleh kode dan atribut yang diperlukan.
Kekurangan verifikasi formal adalah pengujian hanya dapat mencapai standar spesifikasi. Jika spesifikasi yang diberikan tidak menjelaskan perilaku tertentu atau terlalu longgar, maka proses verifikasi tidak akan mampu menangkap semua kesalahan.
Selama audit atau tinjauan sejawat, sekelompok pengembang tepercaya akan menguji dan meninjau kode proyek. Auditor akan menulis laporan yang merinci kerentanan yang ditemukan, serta saran tentang cara memperbaiki masalah ini.
Menggunakan kontrak audit oleh pihak ketiga yang profesional adalah cara yang baik untuk menemukan celah yang terlewat oleh tim asli. Namun, auditor juga manusia, dan mereka tidak akan pernah dapat menangkap semua celah. Selain itu, diperlukan kepercayaan terhadap auditor, percaya bahwa mereka akan memberi tahu dengan jujur setelah menemukan masalah, dan bukan memanfaatkan celah tersebut sendiri.
Meskipun serangan ekosistem adalah jenis yang paling umum dan paling merusak, tetapi alat yang ada saat ini sangat sedikit yang dirancang khusus untuk mencegah serangan semacam ini. Alat keamanan otomatis biasanya hanya fokus pada kesalahan dalam satu kontrak. Audit sering kali tidak dapat menyelesaikan bagaimana memanfaatkan interaksi antara beberapa protokol dalam ekosistem.
Beberapa alat pemantauan dapat memberikan peringatan awal saat serangan kombinasi terjadi, sehingga tim dapat mengambil tindakan. Namun, dalam serangan pinjaman kilat, dana biasanya dicuri dalam satu transaksi, sehingga peringatan apa pun mungkin sudah terlambat, dan tidak dapat mencegah kerugian besar.
Model deteksi ancaman dapat digunakan untuk menemukan transaksi jahat di dalam mempool, mengintersepsi sebelum node memprosesnya, tetapi peretas dapat mengirimkan transaksi langsung ke penambang melalui layanan tertentu, sehingga menghindari pemeriksaan ini.
Enam, Masa Depan Keamanan Enkripsi
Untuk masa depan keamanan enkripsi, saya memiliki dua prediksi:
tinjauan sejawat
Pekerjaan keamanan tidak seharusnya berakhir setelah audit. Dalam banyak kasus, kerentanan didasarkan pada kesalahan yang diperkenalkan selama peningkatan setelah audit.
![Berjalan di hutan gelap enkripsi, Anda membutuhkan panduan pencegahan pencurian Crypto ini](