Keamanan aset Blockchain menarik perhatian, kejadian pencurian yang sering terjadi mengungkapkan berbagai risiko.

Seiring dengan munculnya produk on-chain seperti keuangan terdesentralisasi dan token non-fungible, aset pengguna secara bertahap beralih dari saluran terpusat tradisional ke dompet terdesentralisasi, jembatan lintas rantai, dan platform pinjaman. Namun, seringnya terjadi pencurian proyek dan aset pengguna di on-chain telah memicu perhatian luas, bahkan ada yang menyebut blockchain sebagai "mesin penarik" para peretas.

Penyebab dari berbagai kejadian keamanan ini bermacam-macam, mulai dari kerentanan di tingkat kode hingga kesalahan yang disebabkan oleh faktor manusia. Kasus yang tipikal adalah peristiwa pencurian sebesar 160 juta dolar yang dialami oleh pembuat pasar kripto Wintermute pada 20 September.

Kesalahan manusia menyebabkan kerugian aset yang besar

Pendiri Wintermute menyatakan setelah kejadian bahwa bisnis keuangan terpusat dan perdagangan OTC perusahaan tidak terpengaruh, dan solvabilitasnya masih dua kali lipat dari sisa modal. Dia meyakinkan pengguna bahwa jika ada perjanjian penciptaan pasar dengan Wintermute, dana tersebut aman. Dari 90 aset yang diretas, hanya dua yang memiliki nilai nominal lebih dari 1 juta dolar AS, sehingga kecil kemungkinan terjadi penjualan besar-besaran.

Perusahaan keamanan Blockchain Salus Security dengan cepat melokalisasi alamat hacker, menemukan bahwa sumber dana mereka termasuk alat pencampur anonim tertentu dan dompet independen yang menarik sejumlah besar koin dari beberapa platform perdagangan. Alamat tersebut juga terkait dengan alamat pengguna Wintermute yang diduga dan memiliki operasi aliran dana keluar yang terkait dengan kontrak resmi dari bursa terkenal.

Berdasarkan analisis data di Blockchain, sekitar 73% dari 160 juta dolar AS yang dicuri dari Wintermute adalah stablecoin, 8% adalah WBTC, dan 6% adalah ETH. Penyerang menyimpan 114 juta dolar AS di suatu bursa terdesentralisasi sebagai penyedia likuiditas, menjadi LP ketiga terbesar di platform tersebut.

Perusahaan keamanan Slow Mist menganalisis bahwa alasan pencurian mungkin adalah karena Wintermute menggunakan alat pembuat dompet cantik yang memiliki kerentanan. Pendiri Wintermute kemudian mengonfirmasi bahwa perusahaan memang menggunakan alat tersebut untuk membuat alamat dompet pada bulan Juni, dengan tujuan untuk mengoptimalkan biaya transaksi, bukan untuk menciptakan dompet cantik. Meskipun mereka mulai menghentikan penggunaan kunci lama setelah mengetahui adanya kerentanan pada alat tersebut minggu lalu, kesalahan manusia internal yang memanggil fungsi yang salah menyebabkan mereka gagal untuk segera menghapus izin tanda tangan alamat yang terpengaruh.

Untuk pemulihan dana yang dicuri, Wintermute menyatakan bersedia menawarkan 10% sebagai hadiah kepada peretas, sekitar 16 juta dolar AS. Perusahaan menekankan bahwa kejadian ini tidak akan mempengaruhi operasional normalnya, tidak akan memecat karyawan, mengubah strategi, mengumpulkan dana tambahan, atau menghentikan bisnis DeFi.

Namun, data on-chain menunjukkan bahwa Wintermute saat ini memiliki utang DeFi lebih dari 200 juta USD kepada beberapa lawan dagang, di mana utang terbesar adalah pinjaman USDT sebesar 92 juta USD yang akan jatuh tempo pada bulan Oktober. Jika dana yang dicuri tidak dapat segera dipulihkan, Wintermute mungkin menghadapi risiko krisis utang.

Wintermute pernah mengalami kerugian akibat kesalahan manusia

Perlu dicatat bahwa ini bukanlah pertama kalinya Wintermute mengalami kerugian akibat faktor manusia. Pada bulan Juni tahun ini, perusahaan tersebut kehilangan 20 juta token karena kesalahan alamat saat memberikan layanan likuiditas untuk proyek Layer 2 tertentu.

Saat itu Wintermute diundang untuk menyediakan likuiditas untuk proyek tersebut, dan yayasan memberikan hibah sementara sebanyak 20 juta token. Namun, alamat penerimaan yang diberikan oleh Wintermute adalah alamat multi-tanda tangan di jaringan utama Ethereum, bukan alamat di jaringan Layer 2. Hal ini menyebabkan Wintermute tidak dapat mengakses token-token tersebut, dan penyerang lebih dulu menerapkan kontrak multi-tanda tangan di Layer 2 dan mengendalikan token-token tersebut.

Untungnya, hacker akhirnya mengembalikan 17 juta token, Wintermute berjanji untuk membayar sisa 2 juta token. Peristiwa ini sekali lagi menyoroti konsekuensi serius yang mungkin ditimbulkan oleh kesalahan manusia.

Bagaimana Pengguna Pribadi Dapat Menghindari Risiko Pencurian Aset

Mengingat lembaga sering mengalami kerugian besar akibat kesalahan manusia, pengguna pribadi harus lebih berhati-hati dalam melindungi keamanan aset mereka. Berikut adalah beberapa saran:

1. Hindari menggunakan alat pihak ketiga untuk membuat dompet: Alat pihak ketiga memiliki risiko memantau catatan pengguna dan berbuat jahat dengan biaya rendah, sebaiknya gunakan dompet resmi yang asli.

2. Pertimbangkan untuk menerapkan tanda tangan ganda pada dompet utama: meskipun tidak cocok untuk perdagangan frekuensi tinggi, tanda tangan ganda dapat secara efektif menghindari risiko kesalahan manusia bagi pengguna biasa.

3. Jangan sekali-kali menyalin dan menempel untuk menyimpan kunci privat: Banyak aplikasi pihak ketiga di berbagai perangkat memiliki izin untuk membaca papan klip, menyalin dan menempelkan kunci privat memiliki risiko besar.

4. Periksa kontrak otorisasi dengan cermat saat melakukan operasi di Blockchain: Waspadai situs phishing atau halaman depan yang diretas, pastikan untuk memverifikasi keaslian nama domain situs web dan alamat kontrak pintar.

5. Batasi jumlah otorisasi dan segera cabut otorisasi yang tidak perlu: hindari otorisasi tanpa batas, hanya berikan jumlah yang diperlukan, dan cabut otorisasi segera setelah digunakan.

Keamanan bukanlah hal kecil, terutama di bidang blockchain, aset yang dicuri sulit untuk dipulihkan dan seringkali tidak dilindungi oleh hukum. Oleh karena itu, pengguna harus sangat berhati-hati saat melakukan operasi di atas rantai, mengambil semua langkah yang mungkin untuk melindungi keamanan aset digital mereka.