Apa 5 Kerentanan Smart Contract Paling Katastrofik dalam Sejarah Kripto?

###Peretasan DAO: $60 juta hilang akibat kerentanan kontrak pintar

Pada tahun 2016, dunia cryptocurrency menyaksikan salah satu pelanggaran keamanan terpenting ketika The DAO diretas, mengakibatkan sekitar $60 juta Ether dicuri. Serangan itu mengeksploitasi kerentanan kritis dalam kode kontrak pintar The DAO—secara khusus, cacat reentrancy yang memungkinkan peretas untuk menarik dana secara berulang sebelum sistem dapat memperbarui saldo akun dengan benar.

Kerentanan berasal dari urutan eksekusi kontrak pintar, di mana kode mentransfer dana sebelum memperbarui saldo internal. Ini menciptakan jendela kesempatan bagi aktor jahat untuk memanggil fungsi penarikan secara rekursif beberapa kali, menguras dana dengan setiap iterasi.

| Dampak Peretasan DAO | Detail | |----------------|---------| | Dana Dicuri | $60 juta dalam Ether | | Tipe Kerentanan | Serangan Reentrancy | | Tahun | 2016 | | Resolusi | Ethereum hard fork |

Dampak tersebut memaksa komunitas Ethereum untuk terlibat dalam debat yang sengit mengenai ketidakberubahan versus pemulihan. Pada akhirnya, ini mengarah pada hard fork dari blockchain Ethereum untuk mengembalikan dana yang dicuri, secara efektif menciptakan Ethereum Classic (rantai asli) dan Ethereum (rantai yang di-fork). Momen penting ini secara fundamental mengubah praktik keamanan blockchain dan menyoroti pentingnya audit kontrak pintar yang menyeluruh sebelum diterapkan di lingkungan produksi. ###Pembekuan dompet Parity: $300 juta terkunci akibat cacat kode

Pada tahun 2017, kerentanan kode yang katastrofik dalam sistem dompet multi-tanda tangan Parity mengakibatkan sekitar $300 juta senilai Ethereum terkunci secara permanen dan tidak dapat diakses. Insiden ini terjadi ketika seorang pengguna GitHub yang dikenal sebagai "devops199" memicu cacat kritis dalam kontrak perpustakaan Parity Wallet, yang mempengaruhi lebih dari 500 dompet multi-tanda tangan yang telah dikerahkan setelah 20 Juli. Bencana teknis ini berasal dari kontrak pintar yang dikodekan dengan salah yang memungkinkan pengguna yang tidak berwenang untuk mengambil alih kontrak perpustakaan dan kemudian "membunuh"nya, secara efektif membekukan semua dana yang terkait.

Kerentanan muncul tak lama setelah Parity menerapkan perbaikan untuk masalah keamanan sebelumnya dari 19 Juli, di mana para peretas telah mencuri $32 juta dari dompet multi-tanda tangan. Sayangnya, kode yang direvisi mengandung kelemahan kritis lainnya—kemampuan untuk mengubah kontrak pustaka menjadi dompet multi-tanda tangan biasa dengan memanggil fungsi initWallet.

| Insiden Dompet Parity | Detail | |------------------------|---------| | Tanggal kejadian | November 2017 | | Jumlah yang dibekukan | $300 juta | | Jumlah dompet yang terpengaruh | 500+ | | Nilai hack sebelumnya | $32 juta (Juli 2017) |

Insiden ini menyoroti masalah signifikan dalam praktik keamanan blockchain dan prosedur audit kontrak pintar, membuktikan bahwa bahkan tim pengembang yang berpengalaman dapat melewatkan kerentanan yang menghancurkan saat membangun infrastruktur keuangan. ###Peretasan bursa terpusat: Lebih dari $1 miliar dicuri dari berbagai platform

Bursa cryptocurrency terpusat terus menghadapi pelanggaran keamanan yang menghancurkan, dengan insiden terbaru menyoroti kerugian finansial yang belum pernah terjadi sebelumnya. Peretasan Bybit 2024 menjadi yang terbesar dalam sejarah crypto, dengan para penyerang menyedot sekitar $1,5 miliar dalam aset digital dari bursa. Peristiwa katastrofik ini mencerminkan kerentanan yang terus-menerus dalam sistem penyimpanan terpusat.

Data historis mengungkap pola yang mengkhawatirkan dari pencurian miliaran dolar di seluruh industri:

| Tahun | Informasi Kunci | Jumlah Dicuri | |------|----------------|---------------| | 2024 | Pembobolan Bybit (terbesar dalam sejarah) | $1,5 miliar | | 2024 | Total pencurian platform kripto | $2.2 billion | | 2011-2014 | Pelanggaran pertukaran Mt.Gox | Hampir $500 juta |

Menurut Chainalysis, platform kripto telah mengalami lebih dari $1 miliar aset digital yang dicuri dalam lima dari sepuluh tahun terakhir. Peningkatan 21,1% tahun-ke-tahun dalam dana yang dicuri selama 2024 menunjukkan peningkatan yang mengkhawatirkan baik dalam frekuensi maupun kecanggihan serangan. Para ahli keamanan telah mengaitkan beberapa pelanggaran besar dengan aktor yang didukung negara, termasuk Grup Lazarus dari Korea Utara, yang diduga mengatur serangan Bybit dan berhasil mencuci setidaknya $300 juta dari dana yang dicuri. Insiden-insiden ini menyoroti kekhawatiran kritis tentang infrastruktur keamanan bursa terpusat dan daya tarik mereka bagi organisasi kriminal yang canggih. ###Serangan reentrancy: Beberapa protokol DeFi dieksploitasi hingga jutaan

Serangan reentrancy telah muncul sebagai kerentanan yang menghancurkan dalam ekosistem DeFi, mengakibatkan protokol kehilangan jutaan dolar dalam bentuk dana yang dicuri. Contoh terbaru menunjukkan betapa seriusnya ancaman ini ketika protokol Agave dan Hundred Finance di rantai Gnosis mengalami kerugian gabungan yang melebihi $11 juta akibat serangan reentrancy pinjaman kilat. Pola eksploitasi ini telah menyebabkan kerusakan finansial yang signifikan di seluruh industri selama beberapa tahun.

| Serangan Reentrancy Besar | Tahun | Dampak Finansial | |--------------------------|------|------------------| | Peretasan DAO | 2016 | Mengarah pada fork Ethereum | | Cream Finance | 2021 | $130+ juta | | Protokol SIREN | 2021 | $3,5 juta | | Protokol Fei | - | Kerugian signifikan |

Serangan ini mengeksploitasi kerentanan mendasar dalam alur eksekusi kontrak pintar. Penyerang memanipulasi eksekusi berurutan dari fungsi dengan membuat panggilan rekursif sebelum pembaruan status selesai. Aspek paling berbahaya adalah bagaimana penyerang dapat menguras dana dengan terus-menerus memanggil fungsi penarikan sebelum pembaruan saldo terjadi. Terus berlakunya eksploitasi ini menyoroti tantangan keamanan yang terus-menerus dalam pengembangan kontrak pintar meskipun ada pola pencegahan yang tersedia seperti Checks-Effects-Interactions dan penjaga reentrancy yang dapat mengurangi risiko ini.