Orbit Chain Diserang: Kerugian Mencapai 80 Juta Dolar AS
Awal tahun 2024, sebuah insiden keamanan besar menarik perhatian luas di dunia cryptocurrency. Menurut platform pemantauan risiko keamanan, proyek Orbit Chain mengalami serangan parah yang menyebabkan kerugian setidaknya mencapai 80 juta USD. Analisis keamanan menunjukkan bahwa para penyerang telah memulai serangan percobaan skala kecil sehari sebelumnya dan menggunakan ETH yang dicuri sebagai bahan bakar untuk serangan besar-besaran selanjutnya.
Orbit Chain sebagai platform jembatan lintas rantai, memungkinkan pengguna untuk menggunakan berbagai aset kripto di berbagai blockchain. Menghadapi insiden keamanan ini, tim proyek telah mengambil langkah darurat dengan menghentikan operasi kontrak jembatan lintas rantai dan berusaha untuk berkomunikasi dengan penyerang.
Analisis Serangan
Inti dari peristiwa ini adalah bahwa penyerang secara langsung memanggil fungsi withdraw dalam kontrak jembatan Orbit Chain, sehingga berhasil memindahkan sejumlah besar aset. Dengan menganalisis lebih dalam struktur kode fungsi withdraw, kami menemukan bahwa fungsi tersebut menggunakan mekanisme verifikasi tanda tangan untuk memastikan legalitas transfer dana.
Dalam transaksi blockchain, verifikasi tanda tangan adalah langkah keamanan yang umum dan penting, digunakan untuk mengonfirmasi identitas dan wewenang peng发起交易. Fungsi withdraw bertujuan untuk memastikan bahwa hanya entitas yang berwenang yang dapat melakukan operasi transfer aset dengan memverifikasi tanda tangan.
Dalam penelitian lebih lanjut tentang fungsi verifikasi tanda tangan _validate, kami menemukan bahwa fungsi ini akan mengembalikan jumlah tanda tangan pemilik. Jumlah ini kemudian dibandingkan dengan ambang batas yang telah ditentukan untuk memutuskan apakah transaksi diizinkan untuk dieksekusi. Berdasarkan data di blockchain, kontrak ini memiliki total 10 alamat administrator, dan nilai required diatur ke 7, yang berarti diperlukan setidaknya 70% administrator untuk menandatangani agar penarikan aset disetujui.
Proses Serangan
Tindakan penyerang dapat ditelusuri kembali ke 30 Desember 2023. Sejak saat itu, penyerang mulai melakukan serangkaian serangan percobaan skala kecil dan mendistribusikan sejumlah kecil ETH yang dicuri ke beberapa alamat lain, sebagai persiapan untuk serangan besar-besaran selanjutnya.
Serangan skala besar yang sebenarnya terjadi pada malam tanggal 31 Desember 2023. Penyerang memanfaatkan beberapa alamat untuk menyerang berbagai aset kripto seperti DAI, WBTC, ETH, USDC, dan USDT dari proyek Orbit Chain secara bersamaan.
Arah Aliran Dana
Hingga saat ini, situasi pemindahan dana yang dicuri telah mulai jelas. Penyerang setelah melancarkan serangan secara resmi, telah mendistribusikan dana yang dicuri ke lima alamat yang berbeda. Transaksi ini termasuk:
50 juta dolar AS dalam stablecoin (30 juta USDT, 10 juta DAI, dan 10 juta USDC)
231 wBTC (senilai sekitar 10 juta dolar AS)
9500 ETH (senilai sekitar 21,5 juta USD)
Petunjuk Keamanan
Kejadian kali ini menekankan kembali pentingnya keamanan sistem blockchain. Dalam merancang dan melaksanakan proyek blockchain, keamanan seharusnya selalu menjadi faktor utama yang dipertimbangkan.
Keamanan kode: Kode kontrak sebagai inti dari sistem blockchain harus mematuhi standar keamanan yang paling ketat dan praktik terbaik, menghindari kerentanan dan vektor serangan yang umum.
Verifikasi: Mekanisme verifikasi yang kuat, tanda tangan ganda, dan sistem manajemen hak akses adalah kunci untuk mencegah akses tidak sah dan kehilangan aset.
Pemantauan Berkelanjutan: Memantau aktivitas sistem yang tidak normal secara real-time dan merespons ancaman potensial dengan cepat sangat penting.
Diversifikasi Risiko: Mengadopsi strategi keamanan multilapis untuk menghindari titik kegagalan tunggal.
Audit Keamanan: Lakukan audit keamanan menyeluruh secara berkala untuk cepat menemukan dan memperbaiki potensi kerentanan.
Kejadian ini mengingatkan kita bahwa dalam mengejar inovasi dan efisiensi, kita tidak boleh mengabaikan pentingnya langkah-langkah keamanan dasar. Hanya dengan membangun sistem keamanan yang komprehensif dan ketat, kita dapat memberikan layanan blockchain yang benar-benar aman dan dapat diandalkan kepada pengguna.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Suka
Hadiah
12
5
Bagikan
Komentar
0/400
SignatureVerifier
· 24menit yang lalu
jelas tidak cukup validasi tanda tangan... *tipikal*
Lihat AsliBalas0
TokenomicsTherapist
· 07-05 08:56
Mengapa lagi dingin satu?
Lihat AsliBalas0
AlgoAlchemist
· 07-05 08:48
Satu lagi rug pull.
Lihat AsliBalas0
OldLeekNewSickle
· 07-05 08:43
Tahun baru sudah mulai Dianggap Bodoh, untungnya cukup cepat.
Orbit Chain diserang senilai 80 juta dolar AS, aset multi-koin dicuri
Orbit Chain Diserang: Kerugian Mencapai 80 Juta Dolar AS
Awal tahun 2024, sebuah insiden keamanan besar menarik perhatian luas di dunia cryptocurrency. Menurut platform pemantauan risiko keamanan, proyek Orbit Chain mengalami serangan parah yang menyebabkan kerugian setidaknya mencapai 80 juta USD. Analisis keamanan menunjukkan bahwa para penyerang telah memulai serangan percobaan skala kecil sehari sebelumnya dan menggunakan ETH yang dicuri sebagai bahan bakar untuk serangan besar-besaran selanjutnya.
Orbit Chain sebagai platform jembatan lintas rantai, memungkinkan pengguna untuk menggunakan berbagai aset kripto di berbagai blockchain. Menghadapi insiden keamanan ini, tim proyek telah mengambil langkah darurat dengan menghentikan operasi kontrak jembatan lintas rantai dan berusaha untuk berkomunikasi dengan penyerang.
Analisis Serangan
Inti dari peristiwa ini adalah bahwa penyerang secara langsung memanggil fungsi withdraw dalam kontrak jembatan Orbit Chain, sehingga berhasil memindahkan sejumlah besar aset. Dengan menganalisis lebih dalam struktur kode fungsi withdraw, kami menemukan bahwa fungsi tersebut menggunakan mekanisme verifikasi tanda tangan untuk memastikan legalitas transfer dana.
Dalam transaksi blockchain, verifikasi tanda tangan adalah langkah keamanan yang umum dan penting, digunakan untuk mengonfirmasi identitas dan wewenang peng发起交易. Fungsi withdraw bertujuan untuk memastikan bahwa hanya entitas yang berwenang yang dapat melakukan operasi transfer aset dengan memverifikasi tanda tangan.
Dalam penelitian lebih lanjut tentang fungsi verifikasi tanda tangan _validate, kami menemukan bahwa fungsi ini akan mengembalikan jumlah tanda tangan pemilik. Jumlah ini kemudian dibandingkan dengan ambang batas yang telah ditentukan untuk memutuskan apakah transaksi diizinkan untuk dieksekusi. Berdasarkan data di blockchain, kontrak ini memiliki total 10 alamat administrator, dan nilai required diatur ke 7, yang berarti diperlukan setidaknya 70% administrator untuk menandatangani agar penarikan aset disetujui.
Proses Serangan
Tindakan penyerang dapat ditelusuri kembali ke 30 Desember 2023. Sejak saat itu, penyerang mulai melakukan serangkaian serangan percobaan skala kecil dan mendistribusikan sejumlah kecil ETH yang dicuri ke beberapa alamat lain, sebagai persiapan untuk serangan besar-besaran selanjutnya.
Serangan skala besar yang sebenarnya terjadi pada malam tanggal 31 Desember 2023. Penyerang memanfaatkan beberapa alamat untuk menyerang berbagai aset kripto seperti DAI, WBTC, ETH, USDC, dan USDT dari proyek Orbit Chain secara bersamaan.
Arah Aliran Dana
Hingga saat ini, situasi pemindahan dana yang dicuri telah mulai jelas. Penyerang setelah melancarkan serangan secara resmi, telah mendistribusikan dana yang dicuri ke lima alamat yang berbeda. Transaksi ini termasuk:
Petunjuk Keamanan
Kejadian kali ini menekankan kembali pentingnya keamanan sistem blockchain. Dalam merancang dan melaksanakan proyek blockchain, keamanan seharusnya selalu menjadi faktor utama yang dipertimbangkan.
Keamanan kode: Kode kontrak sebagai inti dari sistem blockchain harus mematuhi standar keamanan yang paling ketat dan praktik terbaik, menghindari kerentanan dan vektor serangan yang umum.
Verifikasi: Mekanisme verifikasi yang kuat, tanda tangan ganda, dan sistem manajemen hak akses adalah kunci untuk mencegah akses tidak sah dan kehilangan aset.
Pemantauan Berkelanjutan: Memantau aktivitas sistem yang tidak normal secara real-time dan merespons ancaman potensial dengan cepat sangat penting.
Diversifikasi Risiko: Mengadopsi strategi keamanan multilapis untuk menghindari titik kegagalan tunggal.
Audit Keamanan: Lakukan audit keamanan menyeluruh secara berkala untuk cepat menemukan dan memperbaiki potensi kerentanan.
Kejadian ini mengingatkan kita bahwa dalam mengejar inovasi dan efisiensi, kita tidak boleh mengabaikan pentingnya langkah-langkah keamanan dasar. Hanya dengan membangun sistem keamanan yang komprehensif dan ketat, kita dapat memberikan layanan blockchain yang benar-benar aman dan dapat diandalkan kepada pengguna.