Pelajari kronologi pencurian kripto senilai $10 juta yang terjadi pada cross-chain bridge Poly Network. Temukan informasi lengkap mengenai pelanggaran keamanan, metode serangan yang digunakan, serta cara terbaik untuk melindungi aset mata uang kripto Anda dari eksploitasi DeFi yang serupa.
Seorang peretas berteknologi tinggi berhasil mengeksploitasi infrastruktur Poly Network dalam insiden terbaru, dan berhasil mengalirkan hampir $10 juta dalam bentuk ETH menurut laporan dari perusahaan keamanan Beosin. Serangan ini menambah tantangan besar bagi keamanan jembatan lintas rantai dalam ekosistem keuangan terdesentralisasi (DeFi).
Poly Network mengonfirmasi melalui media sosial pada awal Juli bahwa mereka menjadi korban terbaru eksploitasi DeFi, di mana celah keamanan tersebut memungkinkan penyerang mencetak token mata uang kripto senilai $34 miliar. Skala eksploitasi ini menyoroti risiko keamanan krusial yang melekat pada protokol jembatan lintas rantai.
Poly Network, yang berfungsi sebagai jembatan lintas rantai untuk memfasilitasi transfer aset secara seamless di berbagai jaringan blockchain, mengumumkan penghentian layanan sementara segera setelah pelanggaran keamanan terdeteksi. Langkah pencegahan ini dilakukan untuk mencegah eksploitasi lebih lanjut dan melindungi aset pengguna.
Tim pengembang DeFi tersebut mengungkapkan bahwa mekanisme eksploitasi memungkinkan penyerang mencetak 57 token berbeda di 10 blockchain berbeda. Jaringan yang terdampak antara lain Ethereum, BNB Chain, Metis, Polygon, Avalanche, Heco, dan sejumlah platform utama lainnya. Dampak lintas multi-chain ini menunjukkan kecanggihan serangan dan mengungkap kerentanan saling terkait di infrastruktur lintas rantai.
Setelah eksploitasi berhasil, alamat dompet pelaku dilaporkan menampung lebih dari $42 miliar dalam bentuk token. Namun, dalam praktiknya, mengonversi aset yang dicetak secara artifisial tersebut menjadi dana likuid jauh lebih sulit dibanding aksi eksploitasi itu sendiri.
Meski nilai nominal token curian sangat besar, pelaku menghadapi hambatan besar untuk mencairkan seluruh token tersebut. Hambatan ini meliputi likuiditas rendah di bursa terdesentralisasi serta berbagai perlindungan keamanan yang diterapkan oleh jaringan blockchain dan platform terpusat yang terdampak. Kasus ini memperlihatkan aspek penting dalam keamanan DeFi: meski eksploitasi dapat menciptakan suplai token artifisial, mengubahnya menjadi nilai nyata berarti harus melewati banyak lapisan keamanan dan kendala pasar.
Apa Penyebab Peretasan?
Pelanggaran keamanan yang terjadi pada Poly Network kemungkinan besar akibat pencurian private key yang digunakan dalam smart contract utama platform, menurut analisis mendalam dari tim keamanan Beosin dan Dedaub. Temuan ini sangat penting untuk memahami akar permasalahan kerentanannya.
Para analis keamanan menekankan bahwa mereka tidak menemukan bukti eksploitasi yang disebabkan oleh cacat spesifik dalam logika atau struktur kode kontrak. Sebaliknya, vektor serangan lebih mendasar, menargetkan mekanisme otentikasi dan otorisasi daripada kesalahan pemrograman.
Berdasarkan laporan perusahaan keamanan, private key untuk tiga dari empat dompet admin yang menjalankan smart contract utama telah dikompromikan. Jenis serangan ini sangat mengkhawatirkan karena dapat melewati sistem keamanan smart contract dengan menggunakan kredensial admin resmi. Jika mayoritas kunci admin diretas secara bersamaan, penyerang dapat menjalankan fungsi otoritatif yang biasanya memerlukan konsensus antar administrator.
Konsep multi-signature yang diadopsi Poly Network dirancang untuk mencegah titik kegagalan tunggal. Namun, jika mayoritas kunci dikompromikan sekaligus, model keamanan tersebut gagal. Kasus ini menegaskan pentingnya manajemen kunci dalam infrastruktur blockchain.
Hingga saat laporan ini dibuat, tim Poly Network belum memberikan kejelasan atau konfirmasi resmi terkait hasil penilaian keamanan tersebut. Kurangnya transparansi langsung adalah hal yang umum dalam investigasi keamanan yang masih berlangsung, karena tim membutuhkan waktu untuk memahami vektor serangan dan mencegah eksploitasi lanjutan.
Tim pengembang DeFi tersebut juga mengumumkan bahwa mereka aktif berkolaborasi dengan bursa terpusat dan aparat penegak hukum untuk mengidentifikasi pelaku dan memulihkan dana yang dicuri. Pendekatan multi-aspek ini mencakup forensik blockchain, pelacakan transaksi, dan metode investigasi konvensional. Tim juga menangguhkan layanan sementara sebagai langkah perlindungan selama proses investigasi dan pemulihan.
Setelah insiden Poly Network, CEO salah satu platform bursa utama memastikan kepada pelanggan bahwa insiden ini tidak berdampak pada pengguna mereka. Eksekutif tersebut menegaskan bahwa bursa mereka tidak menerima setoran dari jaringan tersebut, sehingga pengguna benar-benar terlindungi dari dampak eksploitasi. Pernyataan ini menyoroti pentingnya selektivitas integrasi dan manajemen risiko dalam operasi bursa kripto.
Tim pengembang jaringan yang dieksploitasi juga mengeluarkan imbauan mendesak kepada proyek terdampak agar menarik likuiditas dari bursa terdesentralisasi sebagai langkah pencegahan. Selain itu, mereka meminta pengguna yang memegang aset terkait untuk membukanya dan mengklaim kembali token pool likuiditas yang terikat. Langkah ini bertujuan meminimalkan potensi kerugian dan mencegah pelaku mengakses likuiditas tambahan.
Dalam seruan langsung kepada pelaku, tim mendesak para peretas mengembalikan dana yang dicuri demi menghindari konsekuensi hukum. Imbauan semacam ini kerap terjadi di dunia kripto dan kadang terbukti efektif, terutama jika pelaku menghadapi ancaman proses pidana.
Eksploitasi Besar Kedua pada Poly Network
Serangan terbaru ini merupakan eksploitasi besar kedua yang menimpa Poly Network dalam beberapa tahun terakhir, memunculkan pertanyaan serius tentang infrastruktur keamanan platform dan tantangan protokol jembatan lintas rantai secara lebih luas.
Pada insiden besar sebelumnya, kelompok peretas mengeksploitasi celah arsitektur jaringan untuk mencuri hampir $611 juta aset kripto. Insiden tersebut dianggap sebagai salah satu peretasan mata uang kripto terbesar dalam sejarah, baik dari sisi nilai maupun kompleksitas teknis serangan.
Luar biasanya, pada insiden sebelumnya, para peretas mengembalikan hampir seluruh aset dalam waktu sekitar dua hari. Hasil tak lazim ini memicu spekulasi luas mengenai motif pelaku, mulai dari demonstrasi white-hat hacking hingga tekanan hukum dan kesulitan pencucian dana kripto dalam jumlah sangat besar.
Laporan keamanan dari insiden tersebut menyebutkan bahwa eksploitasi terjadi akibat dugaan kebocoran private key yang digunakan untuk menandatangani pesan lintas rantai. Pola serangan ini serupa dengan eksploitasi terbaru, menandakan bahwa persoalan manajemen kunci masih menjadi tantangan utama bagi platform.
Terulangnya insiden keamanan besar pada satu platform dalam waktu relatif singkat menyoroti sejumlah isu krusial dalam ekosistem DeFi. Pertama, hal ini membuktikan bahwa memperbaiki pelanggaran keamanan tidak otomatis melindungi dari serangan baru jika kerentanan mendasar belum dibereskan. Kedua, hal ini menegaskan tantangan besar bagi protokol jembatan lintas rantai karena harus menjaga keamanan di banyak jaringan blockchain secara simultan.
Jembatan lintas rantai seperti Poly Network menghadapi tantangan keamanan unik karena mereka mengelola aset dan autentikasi di berbagai blockchain dengan model keamanan dan potensi risiko yang berbeda. Kompleksitas sistem ini menciptakan banyak titik serangan potensial, dan besarnya nilai aset menjadikan mereka target empuk bagi penyerang canggih.
Pola serangan yang berulang pada infrastruktur lintas rantai membawa implikasi luas bagi ekosistem DeFi. Hal ini menandakan bahwa model keamanan jembatan lintas rantai membutuhkan perombakan fundamental, termasuk sistem manajemen kunci yang lebih tangguh, pemantauan real-time, dan konsensus administratif yang lebih kuat. Industri terus mencari solusi atas tantangan ini seiring meningkatnya kebutuhan interoperabilitas lintas rantai untuk adopsi blockchain ke depan.
FAQ
Apa itu Poly Network dan mengapa diserang?
Poly Network adalah protokol interoperabilitas lintas rantai yang memungkinkan transfer aset di berbagai blockchain. Poly Network menjadi target serangan karena kerentanan pada mekanisme verifikasi smart contract, sehingga penyerang dapat mengeksploitasi kelemahan validasi tanda tangan dan mengalirkan sekitar $10 juta aset kripto di berbagai rantai.
Bagaimana $10 juta dicuri dalam serangan ini? Metode apa yang digunakan penyerang?
Penyerang mengeksploitasi celah pada protokol jembatan lintas rantai Poly Network untuk mendapatkan akses ke private key secara tidak sah. Mereka lalu menarik dana dengan menjalankan transaksi palsu di berbagai jaringan blockchain, memindahkan aset ke dompet yang mereka kuasai sebelum celah keamanan tersebut diperbaiki.
Apa penyebab spesifik kerentanan keamanan Poly Network? Apakah ini masalah kode smart contract?
Peretasan Poly Network disebabkan oleh kerentanan kritis pada smart contract jembatan lintas rantai, terutama pada mekanisme verifikasi tanda tangan. Penyerang memanfaatkan logika validasi yang kurang ketat untuk memalsukan transaksi dan transfer dana tidak sah, sehingga dapat melampaui pemeriksaan keamanan pada operasi antar rantai.
Apa dampak serangan ini bagi aset pengguna? Apakah dana yang dicuri dapat dipulihkan?
Serangan ini secara langsung mengompromikan aset pengguna di berbagai rantai yang terdampak, dengan $10 juta ditarik dari pool likuiditas Poly Network. Pemulihan dana sangat bergantung pada forensik blockchain dan kerja sama dengan aparat penegak hukum; sebagian aset curian mungkin dapat dilacak dan dibekukan, tetapi pemulihan penuh tidak pasti. Pengguna diimbau untuk memverifikasi kepemilikan dan mengaktifkan perlindungan tambahan.
Risiko keamanan apa yang ada pada protokol jembatan lintas rantai seperti Poly Network?
Jembatan lintas rantai menghadapi risiko kerentanan smart contract, kompromi validator, dan manipulasi likuiditas. Insiden Poly Network pada 2021 mengungkap lemahnya kontrol akses dan celah validasi tanda tangan. Risiko utama meliputi bug kode, serangan oracle, audit yang kurang, dan validator terpusat yang rentan menjadi sasaran pencurian dana lintas rantai.
Bagaimana cara pengguna melindungi aset kripto dari serangan seperti ini?
Gunakan dompet perangkat keras untuk penyimpanan jangka panjang, aktifkan autentikasi multi-signature, selalu memperbarui protokol keamanan, verifikasi audit smart contract sebelum berinteraksi, dan jangan pernah membagikan private key atau seed phrase kepada siapa pun.
Tindakan apa yang dilakukan Poly Network untuk pemulihan dan meningkatkan keamanan setelah insiden?
Poly Network menerapkan protokol keamanan yang lebih baik, melakukan audit smart contract secara menyeluruh, meluncurkan program bug bounty, dan memperbarui mekanisme verifikasi lintas rantai. Mereka juga memperkuat sistem pemantauan dan bekerja sama dengan perusahaan keamanan untuk mencegah serangan di masa mendatang.
* Informasi ini tidak bermaksud untuk menjadi dan bukan merupakan nasihat keuangan atau rekomendasi lain apa pun yang ditawarkan atau didukung oleh Gate.
