Analisis Peristiwa Serangan Hacker Skala Besar di Bidang Web3

Pada 21 Februari 2025, dompet dingin Ethereum dari suatu platform perdagangan terkenal mengalami serangan serius, sekitar 401.346 ETH, 15.000 cmETH, 8.000 mETH, 90.375 stETH, dan 90 USDT dipindahkan ke alamat yang tidak diketahui, dengan total nilai sekitar 14,6 miliar dolar AS.

Penyerang menggunakan metode phishing yang dirancang dengan cermat untuk membujuk penandatangan dompet multi-tanda tangan platform tersebut untuk menyetujui transaksi jahat. Proses serangan adalah sebagai berikut:

1. Penyerang terlebih dahulu menyebarkan kontrak jahat yang berisi pintu belakang untuk transfer dana.
2. Memodifikasi antarmuka depan Safe, sehingga informasi transaksi yang dilihat oleh penandatangan tidak sesuai dengan data yang sebenarnya dikirim ke dompet perangkat keras.
3. Mendapatkan tiga tanda tangan yang valid melalui antarmuka yang dipalsukan, mengganti kontrak implementasi dompet multi-tanda tangan Safe dengan kontrak jahat, sehingga dapat mengendalikan dompet dingin dan memindahkan dana.

Platform yang menjadi korban委托Sygnia untuk melakukan investigasi forensik guna menentukan penyebab dasar dari serangan, mengidentifikasi ruang lingkup dan sumber serangan, serta merumuskan strategi mitigasi risiko. Hasil investigasi menunjukkan:

• Sumber daya di bucket AWS S3 Safe telah disuntikkan dengan kode JavaScript berbahaya.
• Waktu modifikasi sumber daya dan riwayat jaringan menunjukkan bahwa kode berbahaya langsung disuntikkan ke dalam bucket S3 AWS Safe.
• Kode JavaScript yang disuntikkan bertujuan untuk memanipulasi transaksi, mengubah konten transaksi selama proses penandatanganan.
• Kode jahat memiliki kondisi aktivasi tertentu dan hanya dieksekusi ketika sumber transaksi cocok dengan alamat kontrak tertentu.
• Dua menit setelah eksekusi transaksi jahat, versi terbaru sumber daya JavaScript diunggah, menghapus kode jahat.
• Bukti awal menunjukkan bahwa serangan berasal dari infrastruktur AWS Safe.
• Saat ini tidak ada tanda-tanda bahwa infrastruktur platform yang terkena dampak telah disusupi.

Kejadian ini mengungkap masalah mendalam dalam manajemen keamanan dan arsitektur teknologi di industri cryptocurrency. Masalah utama adalah layanan penyimpanan AWS yang diretas, yang mengakibatkan JavaScript dimodifikasi, sehingga konten transaksi yang diajukan oleh front-end Safe diubah. Jika front-end Safe menerapkan verifikasi SRI dasar, meskipun JavaScript dimodifikasi, insiden semacam ini mungkin bisa dihindari. Pada saat yang sama, platform yang menjadi korban tidak cukup memverifikasi informasi transaksi sebelum mengonfirmasi saat menggunakan dompet perangkat keras, kepercayaan berlebihan terhadap front-end Safe juga merupakan masalah kunci.

Dompet perangkat keras memiliki keterbatasan dalam menangani transaksi kompleks, tidak dapat sepenuhnya menganalisis dan menampilkan data transaksi detail dari dompet multisignature, yang menyebabkan penandatangan melakukan "tanda tangan buta" tanpa sepenuhnya memverifikasi isi transaksi.

Dengan perkembangan pesat teknologi Web3, batas antara keamanan frontend dan keamanan blockchain semakin kabur. Kerentanan frontend tradisional (seperti XSS, CSRF) menghadirkan dimensi serangan baru di lingkungan Web3, sementara kerentanan kontrak pintar, masalah pengelolaan kunci pribadi, dan masalah lainnya semakin memperbesar risiko.

Untuk mengatasi tantangan ini, industri perlu mengambil langkah-langkah berikut:

1. Menerapkan verifikasi tanda tangan terstruktur EIP-712, memastikan frontend menghasilkan data yang dapat diverifikasi, dan kontrak pintar memverifikasi tanda tangan.
2. Tingkatkan firmware dompet keras, dukung EIP-712, dan terapkan pencocokan semantik di blockchain.
3. Meningkatkan keamanan perangkat, verifikasi transaksi, dan mekanisme pengendalian risiko secara menyeluruh.
4. Pengembangan front-end perlu melakukan verifikasi ketat pada tahap akses DApp, koneksi dompet, tanda tangan pesan, tanda tangan transaksi, dan pemrosesan setelah transaksi.
5. Secara berkala melakukan audit keamanan kontrak di blockchain.

Hanya melalui langkah-langkah keamanan yang berlapis dan menyeluruh, nilai dan kepercayaan setiap transaksi dapat dilindungi secara efektif dalam lingkungan terbuka Web3, mewujudkan peralihan dari "perbaikan pasif" ke "imun proaktif".