Apa 5 Kerentanan Smart Contract yang Paling Menghancurkan dalam Sejarah Kripto?

Peretasan DAO: $60 juta dicuri dalam kerentanan kontrak pintar terbesar Ethereum

Pada tahun 2016, dunia cryptocurrency menyaksikan salah satu pelanggaran keamanan yang paling signifikan ketika DAO, sebuah organisasi otonom terdesentralisasi yang dibangun di atas Ethereum, menjadi korban peretasan yang menghancurkan. Penyerang memanfaatkan kerentanan kritis dalam kode kontrak pintar, berhasil menguras sekitar $60 juta bernilai ether ke dalam wallet yang terpisah. Pelanggaran keamanan ini terjadi meskipun DAO telah mengumpulkan lebih dari $150 juta dalam dana investasi melalui penjualan tokennya.

Eksploitasi memanfaatkan kerentanan pemanggilan rekursif yang memungkinkan peretas untuk menarik dana secara berulang kali sebelum sistem dapat memperbarui saldo akun dengan benar. Apa yang membuat serangan ini sangat menonjol adalah bahwa itu tidak melanggar aturan eksplisit apa pun dalam kontrak pintar—itu hanya mengeksploitasi fitur yang tidak diperhatikan dalam logika kode.

Insiden tersebut menciptakan perpecahan filosofis di dalam komunitas Ethereum antara mereka yang percaya bahwa "kode adalah hukum" dan mereka yang mendorong intervensi. Krisis ini pada akhirnya mengarah pada hard fork kontroversial dari blockchain Ethereum untuk memulihkan dana yang dicuri, menciptakan Ethereum Classic (rantai asli) dan Ethereum (rantai forked). Peretasan DAO secara fundamental mengubah cara pengembang mendekati keamanan kontrak pintar, menekankan perlunya audit dan pengujian yang menyeluruh sebelum menerapkan kode yang mengelola aset keuangan yang signifikan.

Pembekuan dompet Parity: $300 juta terkunci akibat cacat kode

Pada tahun 2017, dunia cryptocurrency menyaksikan salah satu kegagalan kontrak pintar yang paling signifikan ketika seorang pengembang yang dikenal sebagai "devops199" secara tidak sengaja memicu kerentanan kritis dalam pustaka dompet multi-tanda tangan Parity. Insiden ini mengakibatkan sekitar $300 juta nilai Ethereum terkunci selamanya dan tidak dapat diakses oleh pemiliknya. Peristiwa katastropik ini terjadi pada 8 November, ketika devops199 memanggil fungsi initWallet, secara tidak sengaja mengambil alih kepemilikan kontrak pustaka yang mendukung banyak dompet multi-tanda tangan.

| Detail Insiden Dompet Parity | Informasi | |-------------------------------|-------------| | Tanggal kejadian | 8 November 2017 | | Jumlah yang dibekukan | $300 juta dalam ETH | | Dompet yang Terpengaruh | Lebih dari 500 dompet multi-tanda tangan | | Penyebab | Kerentanan kode dalam kontrak perpustakaan | | Aksi pemicu | Pengguna "devops199" memanggil fungsi initWallet |

Apa yang membuat insiden ini sangat mengkhawatirkan adalah bahwa Parity Technologies telah diperingatkan tentang kerentanan ini beberapa bulan sebelumnya. Seorang pengguna GitHub telah mengidentifikasi dan melaporkan celah tersebut pada bulan Agustus, tetapi perusahaan gagal menerapkan perbaikan yang diperlukan. Kode asli telah dibuat dan diaudit oleh tim DEV Ethereum Foundation dan Parity Technologies, namun kerentanan kritis ini tetap tidak ditangani, menunjukkan bagaimana bahkan kontrak pintar yang telah ditinjau secara menyeluruh dapat mengandung cacat yang menghancurkan dengan konsekuensi yang tidak dapat dibalik dalam teknologi blockchain.

Eksploitasi Poly Network: $610 juta dicuri dalam peretasan DeFi lintas rantai

Dalam salah satu pelanggaran keamanan terpenting dalam sejarah keuangan terdesentralisasi, peretas melakukan serangan canggih pada Poly Network, berhasil mencuri sekitar $610 juta dalam aset digital. Insiden tahun 2021 ini termasuk di antara pencurian cryptocurrency terbesar yang pernah tercatat, setara dengan pelanggaran besar di bursa lain pada tahun-tahun sebelumnya.

Para hacker mengeksploitasi kerentanan dalam protokol lintas rantai Poly Network, memungkinkan mereka untuk mentransfer ribuan token digital termasuk Ether ke dompet cryptocurrency terpisah yang berada di bawah kendali mereka. Skala serangan ini menyoroti kelemahan keamanan kritis dalam infrastruktur DeFi.

| Aspek | Rincian | |--------|---------| | Jumlah Dicuri | $610 juta | | Status Pemulihan | 100% (selesai) | | Garis Waktu Pemulihan | 13 hari | | Konteks Sejarah | Antara peretasan DeFi terbesar dalam sejarah |

Apa yang membuat kasus ini sangat tidak biasa adalah hasil akhirnya. Setelah pelanggaran, Poly Network menyebut para peretas sebagai "topi putih," sebuah penunjukan yang kontroversial yang memicu perdebatan di dalam komunitas keamanan. Terminologi ini membuat para ahli khawatir karena khawatir bisa melegitimasi aktivitas kriminal dengan dalih penelitian keamanan. Meskipun ada kekhawatiran awal, para peretas akhirnya mengembalikan semua aset yang dicuri, dengan dana terakhir dirilis ketika peretas membagikan kunci pribadi yang diperlukan untuk mengakses sisa $268 juta yang telah terkunci dalam rekening bersama.

Serangan Pump.fun: Pencurian $1,9 juta menyoroti risiko keamanan internal

Platform Pump.fun mengalami pelanggaran keamanan yang signifikan pada tahun 2023 ketika seorang mantan karyawan mengeksploitasi hak istimewa sistem, yang mengakibatkan pencurian sekitar $1,9 juta dalam token SOL. Serangan dari dalam ini terjadi antara pukul 3:21 sore dan 5:00 sore UTC pada 16 Mei, dengan pelaku menggunakan pinjaman kilat untuk memanipulasi likuiditas token melalui apa yang digambarkan sebagai serangan "kurva ikatan". Insiden ini hanya mempengaruhi sebagian dari aset platform, karena jumlah yang dicuri hanya mewakili sebagian kecil dari total $45 juta dalam kontrak kurva ikatan Pump.fun.

Setelah serangan tersebut, Pump.fun segera merespons dengan langkah-langkah keamanan yang ditingkatkan dan rencana pemulihan yang jelas. Platform ini meyakinkan pengguna bahwa kontrak pintar mereka tetap aman dan berkomitmen untuk mengembalikan pengguna yang terdampak dengan menyediakan "100% dari likuiditas" dalam waktu 24 jam. Selain itu, Pump.fun menetapkan biaya perdagangan menjadi 0% untuk minggu berikutnya guna mengurangi kerugian pengguna.

Akibatnya, terdapat konsekuensi hukum bagi pelaku yang diduga, Jarret Dunn, yang ditangkap di Inggris sehubungan dengan eksploitasi tersebut. Kasus ini menjadi pengingat yang jelas bahwa ancaman internal dapat menimbulkan risiko signifikan bagi platform cryptocurrency, bahkan yang dibangun di atas fondasi blockchain yang aman seperti Solana.