Semua orang mengingat maraknya mata uang kripto pada tahun 2017, ketika seseorang pertama kali mengetahui hal itu, dan seseorang bisa mendapatkan kekayaan atau bahkan berhasil kehilangannya. Sejarah cryptocurrency berasal dari tahun 90-an abad lalu, dan itu mendapatkan popularitas besar pada tahun 2009, ketika bitcoin muncul. Bersamaan dengan acara ini, ledakan dalam serangan terhadap proyek-proyek blockchain yang bertujuan mencuri cryptocurrency dimulai.
Tim kami telah melakukan audit keamanan untuk proyek-proyek blockchain sejak lama dan menjadi menarik bagi kami untuk melihat insiden apa yang telah terjadi di area ini. Siapa peduli, selamat datang ke kucing.
Di luar penelitian, ada kasus penipuan di mana proyek melakukan ICO, dan kemudian menghilang dengan uang yang diterima. Untuk melakukan ini, di kedalaman jaringan di seluruh dunia, kami telah mengumpulkan informasi tentang hampir seratus insiden. Daftar ini termasuk kasus yang sangat terkenal, dan yang tidak banyak diketahui. Tetapi tidak semua dari mereka memasuki infografis, yang merupakan hasil dari semua pekerjaan. Semua ini dapat dilihat dalam versi lengkap dari penelitian ini .
Sekarang tentang bagaimana infografis dibuat. Pertama-tama, insiden-insiden yang hanya ada sedikit informasi yang keluar dari permainan. Kriteria utama yang tercermin dalam infografis adalah ketersediaan informasi tentang ruang lingkup blockchain, tanggal, jumlah kerugian, dan penyebab insiden.
Alasan utama untuk sejumlah kecil informasi tentang insiden tersebut adalah bahwa pencipta / pemilik proyek tidak ingin mengungkapkan informasi tentang insiden tersebut dan segera setelah perampokan dilakukan, mereka menutup proyek mereka, sekaligus menghapus semua informasi tentang kejadian itu. Meskipun dalam beberapa kasus, arsip web membantu menemukan lebih banyak informasi, tetapi tidak mahakuasa.
Bidang aplikasi yang paling diserang dari blockchain ternyata adalah pertukaran. Alasannya cukup sederhana - pasti ada untungnya untuk penyerang. Di tempat kedua dengan frekuensi peretasan setelah pertukaran adalah dompet, di mana uang juga ditemukan. Protokol yang mendasari pekerjaan proyek, platform crowdfunding, layanan penambangan, dan bahkan kasino online diwakili oleh satu atau dua kasus.
Tetapi pada saat yang sama, alasan pencurian cryptocurrency ternyata sangat berbeda. Serangan paling keras ada di platform The DAO. Di mana, karena kemungkinan panggilan rekursif dari fungsi yang sama, dimungkinkan untuk menerima eter selama satu transaksi. Akibatnya, sekitar 53 juta dolar ada di dompet penyerang.
Yang paling utama, insiden keamanan cryptocurrency dihambat oleh masalah organisasi yang, misalnya , kunci pribadi pengguna dapat bocor ke jaringan, yang akan memberikan penyerang peluang untuk mencuri tabungan pengguna. Kesalahan logis dapat memungkinkan Anda untuk menerima jackpot di kasino online berdasarkan blockchain atau memberikan kesempatan untuk menghabiskan cryptocurrency beberapa kali. Phishing juga bisa mencuri mata uang digital.
Juga, penyerang dapat menggunakan kesalahan perangkat lunak yang tidak sengaja muncul dan backdoors . Serangan pada server tidak kalah berbahaya .
Kerugian terbesar ditimbulkan oleh pertukaran cryptocurrency Coincheck Inc - $ 534 juta. Perusahaan tidak mengungkapkan rincian pencurian, kecuali bahwa itu adalah kesalahan keamanan: aset disimpan dalam dompet "panas" yang terhubung ke jaringan eksternal.
Jika kita hanya mengambil insiden yang mencapai final dan masuk ke infografis, maka jumlah yang dicuri akan sama dengan 3661 juta dolar. Jika kami memperhitungkan semua serangan yang pernah dilakukan pada proyek blockchain, maka jumlah ini akan jauh lebih besar.
Waktu bermain di tangan para penyerang, karena laju Bitcoin dan cryptocurrency lainnya terus tumbuh, dan keamanan proyek tetap pada tingkat yang sama. Oleh karena itu, dengan sumber daya yang sama dan waktu yang dihabiskan untuk menyerang, para penyerang berhasil mencuri dalam jumlah besar.
Kami berharap penelitian ini akan memberikan gagasan yang lebih baik tentang keamanan proyek blockchain.