Pelajaran Keamanan Frontend dari Peristiwa Peretasan Terbesar dalam Sejarah Web3
Pada 21 Februari 2025, sebuah platform perdagangan terkenal mengalami insiden keamanan besar, sekitar 14,6 miliar dolar AS aset kripto dipindahkan ke alamat yang tidak diketahui. Insiden ini tidak hanya mengejutkan seluruh industri kripto, tetapi juga memicu pemikiran mendalam tentang keamanan Web3.
Tinjauan Peristiwa
Penyerang berhasil menipu penandatangan dompet multisig untuk menyetujui transaksi jahat melalui serangan phishing yang dirancang dengan cermat. Langkah-langkah spesifiknya adalah sebagai berikut:
Penyerang sebelumnya menyebarkan kontrak jahat yang memiliki pintu belakang untuk pemindahan dana.
Memanipulasi antarmuka depan Safe, sehingga informasi transaksi yang dilihat oleh penandatangan tidak sesuai dengan data yang sebenarnya dikirim ke dompet keras.
Mendapatkan tanda tangan yang valid melalui antarmuka yang dipalsukan, mengganti kontrak implementasi dompet multi-tanda tangan Safe, dan kemudian mengendalikan dompet dingin serta mentransfer aset.
Penyelidikan menemukan
Setelah penyelidikan forensik oleh lembaga profesional, hasil awal menunjukkan:
Menemukan sumber daya yang disuntikkan dengan kode JavaScript berbahaya di penyimpanan cloud Safe.
Kode jahat dirancang untuk memanipulasi transaksi, mengubah konten transaksi selama proses penandatanganan.
Sumber serangan tampaknya berasal dari infrastruktur cloud Safe.
Saat ini belum ada tanda-tanda bahwa infrastruktur dasar platform perdagangan telah disusupi.
Analisis Risiko Keamanan
Kerentanan keamanan front-end: Front-end Safe kurang memiliki integritas sumber daya dasar (SRI) verifikasi, sehingga kode JavaScript yang telah dimanipulasi dapat dieksekusi.
Keterbatasan dompet perangkat keras: Dalam menangani transaksi kompleks, dompet perangkat keras tidak dapat sepenuhnya menganalisis dan menampilkan data transaksi terperinci dari dompet multi-tanda tangan, yang mengakibatkan risiko "tanda tangan buta".
Masalah Kepercayaan Pengguna: Penandatangan terlalu mempercayai antarmuka depan, dan mengkonfirmasi tanpa memverifikasi konten transaksi secara memadai.
Penggabungan Keamanan Frontend dan Web3
Seiring dengan perkembangan teknologi Web3, batas antara keamanan front-end dan keamanan blockchain semakin kabur. Kerentanan front-end tradisional dapat menyebabkan konsekuensi yang lebih serius dalam lingkungan Web3, sementara kerentanan kontrak pintar dan masalah manajemen kunci pribadi semakin meningkatkan risiko.
Skenario 1: Modifikasi Parameter Transaksi
Masalah: Antarmuka menampilkan transfer, sebenarnya mengeksekusi otorisasi.
Solusi: menggunakan verifikasi tanda tangan terstruktur EIP-712
Data yang dapat diverifikasi dihasilkan di front-end
Verifikasi tanda tangan kontrak pintar
Efek: Setiap pemalsuan parameter frontend akan mengakibatkan tanda tangan tidak cocok, transaksi akan otomatis dibatalkan.
Skenario Dua: Perampokan Tanda Tangan Buta
Masalah: Aturan analisis dompet perangkat keras telah dimanipulasi, menyebabkan konten yang ditampilkan tidak sesuai dengan yang sebenarnya dieksekusi.
Solusi:
Tingkatkan firmware dompet keras, mendukung EIP-712
Melaksanakan pencocokan semantik yang kuat di blockchain
Saran Keamanan
Menerapkan mekanisme verifikasi keamanan berlapis, termasuk keamanan perangkat, verifikasi transaksi, dan mekanisme pengendalian risiko.
Pengembangan front-end perlu melakukan verifikasi menyeluruh terhadap akses DApp, koneksi dompet, tanda tangan pesan, tanda tangan transaksi, dan pemrosesan setelah transaksi.
Menggunakan alat audit keamanan kontrak pintar, seperti verifikasi formal dan generasi spesifikasi keamanan yang dibantu AI.
Membangun sistem pemantauan real-time untuk segera mengidentifikasi dan menanggapi potensi ancaman keamanan.
Meningkatkan kesadaran keamanan pengguna, membentuk kebiasaan baik dalam verifikasi transaksi.
Kesimpulan
Peristiwa Bybit mengungkapkan masalah mendalam dalam manajemen keamanan dan arsitektur teknologi di industri cryptocurrency. Menghadapi teknologi serangan yang terus berkembang, industri perlu secara menyeluruh meningkatkan kemampuan perlindungan dari berbagai aspek. Pengembang frontend harus berkomitmen untuk membangun pengalaman interaksi pengguna yang lebih aman dan lebih dapat dipercaya, mewujudkan peralihan dari "perbaikan pasif" menjadi "imun aktif". Hanya dengan cara ini, kita dapat benar-benar melindungi nilai dan kepercayaan setiap transaksi di dunia terbuka Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
4
Bagikan
Komentar
0/400
NftPhilanthropist
· 07-22 14:38
*menyesuaikan kacamata* hari lain, momen mengajar $1,4B lainnya untuk verifikasi dampak sejujurnya
Lihat AsliBalas0
PaperHandsCriminal
· 07-19 21:22
Saya sangat sial, kemarin saya lagi-lagi kehilangan kesempatan untuk 10 kali lipat!
Tantangan baru keamanan frontend Web3: Peringatan dan strategi dari insiden peretasan senilai 14,6 juta dolar.
Pelajaran Keamanan Frontend dari Peristiwa Peretasan Terbesar dalam Sejarah Web3
Pada 21 Februari 2025, sebuah platform perdagangan terkenal mengalami insiden keamanan besar, sekitar 14,6 miliar dolar AS aset kripto dipindahkan ke alamat yang tidak diketahui. Insiden ini tidak hanya mengejutkan seluruh industri kripto, tetapi juga memicu pemikiran mendalam tentang keamanan Web3.
Tinjauan Peristiwa
Penyerang berhasil menipu penandatangan dompet multisig untuk menyetujui transaksi jahat melalui serangan phishing yang dirancang dengan cermat. Langkah-langkah spesifiknya adalah sebagai berikut:
Penyelidikan menemukan
Setelah penyelidikan forensik oleh lembaga profesional, hasil awal menunjukkan:
Analisis Risiko Keamanan
Kerentanan keamanan front-end: Front-end Safe kurang memiliki integritas sumber daya dasar (SRI) verifikasi, sehingga kode JavaScript yang telah dimanipulasi dapat dieksekusi.
Keterbatasan dompet perangkat keras: Dalam menangani transaksi kompleks, dompet perangkat keras tidak dapat sepenuhnya menganalisis dan menampilkan data transaksi terperinci dari dompet multi-tanda tangan, yang mengakibatkan risiko "tanda tangan buta".
Masalah Kepercayaan Pengguna: Penandatangan terlalu mempercayai antarmuka depan, dan mengkonfirmasi tanpa memverifikasi konten transaksi secara memadai.
Penggabungan Keamanan Frontend dan Web3
Seiring dengan perkembangan teknologi Web3, batas antara keamanan front-end dan keamanan blockchain semakin kabur. Kerentanan front-end tradisional dapat menyebabkan konsekuensi yang lebih serius dalam lingkungan Web3, sementara kerentanan kontrak pintar dan masalah manajemen kunci pribadi semakin meningkatkan risiko.
Skenario 1: Modifikasi Parameter Transaksi
Masalah: Antarmuka menampilkan transfer, sebenarnya mengeksekusi otorisasi.
Solusi: menggunakan verifikasi tanda tangan terstruktur EIP-712
Efek: Setiap pemalsuan parameter frontend akan mengakibatkan tanda tangan tidak cocok, transaksi akan otomatis dibatalkan.
Skenario Dua: Perampokan Tanda Tangan Buta
Masalah: Aturan analisis dompet perangkat keras telah dimanipulasi, menyebabkan konten yang ditampilkan tidak sesuai dengan yang sebenarnya dieksekusi.
Solusi:
Saran Keamanan
Menerapkan mekanisme verifikasi keamanan berlapis, termasuk keamanan perangkat, verifikasi transaksi, dan mekanisme pengendalian risiko.
Pengembangan front-end perlu melakukan verifikasi menyeluruh terhadap akses DApp, koneksi dompet, tanda tangan pesan, tanda tangan transaksi, dan pemrosesan setelah transaksi.
Menggunakan alat audit keamanan kontrak pintar, seperti verifikasi formal dan generasi spesifikasi keamanan yang dibantu AI.
Membangun sistem pemantauan real-time untuk segera mengidentifikasi dan menanggapi potensi ancaman keamanan.
Meningkatkan kesadaran keamanan pengguna, membentuk kebiasaan baik dalam verifikasi transaksi.
Kesimpulan
Peristiwa Bybit mengungkapkan masalah mendalam dalam manajemen keamanan dan arsitektur teknologi di industri cryptocurrency. Menghadapi teknologi serangan yang terus berkembang, industri perlu secara menyeluruh meningkatkan kemampuan perlindungan dari berbagai aspek. Pengembang frontend harus berkomitmen untuk membangun pengalaman interaksi pengguna yang lebih aman dan lebih dapat dipercaya, mewujudkan peralihan dari "perbaikan pasif" menjadi "imun aktif". Hanya dengan cara ini, kita dapat benar-benar melindungi nilai dan kepercayaan setiap transaksi di dunia terbuka Web3.