Rho Markets, lapisan likuiditas dan protokol peminjaman di Scroll, terkena serangan eksploitasi. Kerusakannya? Sebuah kerugian sebesar $7,6 juta dalam USD Coin. Sakit sekali. Peretasan terjadi pada 19 Juli. Seorang aktor jahat berhasil mengakses oracle blockchain protokol tersebut. Cyvers, sebuah firma keamanan blockchain, membongkar rahasia ini di X. "Rho Markets mengumumkan bahwa mereka telah mendeteksi aktivitas yang tidak biasa di platform mereka pada rantai #Scroll dan menghentikan platform tersebut!" kata Cyvers. "Akar penyebab insiden ini tampaknya adalah kontrol akses oracle oleh aktor jahat!" Rho Markets tidak membuang waktu. Mereka sudah menghentikan platform mereka. Lebih baik aman daripada menyesal, kan? Peretasan ini bukanlah insiden yang terisolasi, ini adalah bagian dari gambaran yang lebih besar dan berantakan. Beberapa hari yang lalu, WazirX, sebuah bursa kripto India, juga kena serang. Kerusakan di sana? Sebesar $230 juta dalam kripto. Itu adalah peretasan kripto terbesar kedua di 2024 sejauh ini. Para hacker kripto sedang bersenang-senang. Minggu ini adalah minggu kedua paling menguntungkan bagi mereka di tahun 2024. Mari kita urai satu per satu: 18 Juli: WazirX kehilangan $230 juta. Penyerangnya sudah memindahkan Shiba Inu senilai $149 juta. Bicara soal anjing dengan tulang. 16 Juli: Protokol Li.Fi kena serang. $10 juta dalam kripto hilang begitu saja. Itu adalah eksploitasi kontrak pintar, tetapi sekarang mereka sudah mengendalikannya. Dan jika itu belum cukup, para pemain Hamster Kombat, sebuah permainan klik viral berbasis Telegram, juga sedang menjadi target. Kaspersky, sebuah firma keamanan siber, mengatakan serangan phishing dan airdrop kripto palsu sedang mencoba mencuri kredensial pengguna. Seperti permainan pukul-mole di luar sana. Mari kita lihat lebih luas. Peretasan kripto adalah duri besar di sisi keuangan terdesentralisasi. Mereka benar-benar menghalangi adopsi kripto yang luas. Angkanya mengejutkan: Sejak 19 Juni 2011 (tanggal peretasan kripto pertama yang diketahui), hampir $19 miliar aset digital telah dicuri. Itu tersebar di 785 laporan peretasan dan eksploitasi. Itu bukan uang receh, kawan. Februari 2024 menyaksikan peretasan besar. PlayDapp terkena serangan keamanan sebesar $290 juta. Itu adalah peretasan kripto terbesar dalam dua tahun terakhir. Membuat Anda bertanya-tanya tentang pengaturan keamanan mereka, bukan? Dan 2024? Tampaknya akan menjadi tahun yang besar untuk alasan yang salah. Kuartal pertama saja melihat $542,7 juta dana yang dicuri. Itu naik 42% dibandingkan periode yang sama di 2023. Pada laju ini, 2024 mungkin saja melampaui 2023 dalam liga pencurian kripto. Peretasan Rho Markets hanyalah yang terbaru dalam serangkaian panjang peretasan kripto. Ini adalah pengingat keras bahwa di dunia aset digital, keamanan tidak bisa dianggap sepele. Itu harus dibangun dari dasar. Saat ini, pengguna Rho Markets harus menanggung kerugian. Platform dihentikan, dan belum ada kabar apakah atau kapan mereka akan mendapatkan dana mereka kembali. Ini adalah kisah yang akrab di dunia kripto, dan satu yang kemungkinan akan terus terulang hingga industri ini serius tentang keamanan. Adapun para hacker? Mereka mungkin tertawa dalam perjalanan ke bank digital mereka. Namun, semoga kemenangan mereka segera berakhir. Dunia kripto bisa menggunakan jeda dari semua drama ini. Sementara itu, para penggemar kripto ditinggalkan dengan mantra yang dikenal: "Bukan kunci Anda, bukan koin Anda." Mungkin sudah saatnya menambahkan satu baris lagi: "Bukan audit keamanan Anda, bukan ketenangan pikiran Anda." Rollercoaster kripto terus berputar. Kencangkan sabuk pengaman, kawan. Ini akan menjadi perjalanan yang bergelombang.

Dunia kripto mendapat sakit kepala baru. Protokol LiFi, alat canggih untuk menukar dan menjembatani cryptocurrency, baru saja dihantam. Peretas berhasil mengambil lebih dari $10 juta dalam aset digital. Aduh. Ini masalahnya. Orang jahat menemukan celah dalam persetujuan kontrak LiFi. Mereka menggunakannya untuk menguras baik kontrak maupun dompet pengguna. Serangan ganda. Cyvers Alerts, pengawas kripto, membunyikan alarm. Mereka menemukan beberapa transaksi mencurigakan yang menargetkan LiFi. Pelakunya? Alamat kontrak tertentu. Tim LiFi segera bertindak. Mereka memperingatkan pengguna untuk sementara menjauhi aplikasi yang menggunakan LiFi. "Jika Anda tidak menyiapkan persetujuan tak terbatas, Anda tidak berisiko," tweet mereka. Penghiburan kecil bagi mereka yang melakukannya, ya? Meir Dolev, ahli teknologi Cyvers, tidak bersilat kata. "Peretas dapat mengeksploitasi persetujuan ini untuk menguras aset," katanya. Tidak bercanda, Sherlock. LiFi bukan satu-satunya dalam kekacauan ini. Ruang DeFi telah mengalami serangan bertubi-tubi. Pike Finance kehilangan $1,6 juta karena bug kontrak pintar. Dough Finance terbakar sebesar $1,8 juta dalam serangan pinjaman kilat. Ini tahun yang sulit untuk keamanan kripto. Lebih dari $1 miliar dalam aset digital lenyap pada paruh pertama tahun 2024. Serangan phishing, kompromi kunci - Anda sebutkan, mereka telah mengalaminya. Tapi tidak semua buruk. Pasar kripto menunjukkan ketahanan. Mereka berhasil memulihkan 77% dana yang dicuri pada Q2. Tidak terlalu buruk. Namun, penipuan masih hidup dan terus berlangsung. X (itu Twitter bagi Anda yang tua) kehilangan hampir $50 juta per bulan karena peniruan akun. Ini benar-benar hutan di luar sana. Jadi, apa yang bisa diambil? Berhati-hatilah dengan persetujuan tersebut, teman-teman. Dan mungkin awasi akun Twitter tersebut. Anda tidak pernah tahu siapa yang benar-benar menghubungi Anda.

Beberapa aplikasi keuangan terdesentralisasi (DeFi) telah menjadi korban serangan registri domain. Platform keamanan blockchain Blockaid mengangkat alarm pada 11 Juli. Penyerang mengambil alih kendali registri DNS Compound Finance. Mereka juga mencoba dan gagal membajak registri Celer Network. Penyelidikan awal Blockaid menunjukkan domain Squarespace sebagai target. Ini menempatkan aplikasi DeFi manapun yang menggunakan Squarespace dalam potensi risiko. Serangan tersebut terungkap ketika compound.finance mulai mengarahkan pengguna ke situs yang meragukan. Situs berbahaya ini menampung aplikasi drainer, yang bertujuan mencuri token pengguna. Celer Network berhasil lolos dari ancaman. Sistem pemantauan domain mereka menangkap upaya pengambilalihan tepat waktu. Pada pukul 15:38 UTC, Blockaid menjatuhkan berita besar. "Beberapa front end DeFi berisiko dibajak," tweet mereka. Mereka menunjuk registri nama domain Squarespace sebagai kemungkinan penyebabnya. Pengembang DefiLlama 0xngmi membagikan daftar domain yang berpotensi terpengaruh. Ini adalah daftar aplikasi DeFi terkenal, dengan lebih dari 100 protokol. Nama-nama besar seperti Pendle Finance, dYdX, dan LooksRare masuk dalam daftar tersebut. MetaMask, dompet Web3 yang populer, berusaha lebih keras. Mereka bekerja untuk memperingatkan pengguna tentang aplikasi yang mungkin terkompromi terkait serangan ini. Ini bukan pertama kalinya industri Web3 menghadapi situasi seperti ini. Pembajakan nama domain hanyalah salah satu dari banyak serangan yang mereka hadapi dalam setahun terakhir. Ingat peretasan perpustakaan Ledger Connect pada Desember? Yang itu hampir menghantam seluruh ekosistem Ethereum Virtual Machine. Benar-benar sakit kepala. Jelas bahwa keamanan tetap menjadi isu penting di ruang DeFi. Seperti pepatah lama, dengan inovasi besar datang tanggung jawab besar – dan rupanya, risiko besar.

Peretasan dan penipuan cryptocurrency meningkat pada kuartal kedua 2024. Kerugian hampir dua kali lipat dibandingkan periode yang sama tahun lalu. Immunefi, platform bug bounty crypto, melaporkan kerugian sebesar $509 juta. Ini menandai peningkatan 91% dari Q2 2023. Mei 2024 mencatat kerugian terbesar sebesar $107 juta. Kerugian pada bulan Juni menurun menjadi $78 juta dari 12 insiden. Ini mewakili penurunan 27% dari $107 juta pada Juni 2023. DMM Bitcoin, sebuah bursa terpusat di Jepang, mengalami kerugian terbesar. Peretas mencuri $305 juta. Bursa tersebut telah menerapkan langkah-langkah pengembalian dana pelanggan. Eksploitasi signifikan lainnya menargetkan BtcTurk, Hedgey, Lykke, Gala Games, dan SonneFinance. Serangan ini mengakibatkan kerugian gabungan sebesar $164,2 juta. Institusi keuangan crypto terpusat menanggung serangan yang paling sukses. Mereka menyumbang dua pertiga dari semua insiden. Grace Dees, seorang analis keamanan siber di Resonance Security, menjelaskan tren ini kepada Decrypt. "Entitas CEFi sering mengelola kumpulan aset yang lebih besar dibandingkan dengan platform DeFi. Ini membuat mereka menjadi target yang lebih menguntungkan," katanya. Dees menyoroti kerentanan sistem yang terpusat. "Sentralisasi ini dapat menciptakan titik kegagalan tunggal," ujarnya. Pengawasan regulator telah memaksa platform DeFi meningkatkan keamanan. Menurut Dees, hal ini mungkin membuat mereka menjadi target yang kurang menarik. Ethereum muncul sebagai blockchain yang paling dieksploitasi. Ini menyumbang 44,4% serangan. Rantai BNB diikuti di 25%, dengan Arbitrum di 5,6%. Jonah Michaels dari Immunefi menjelaskan kerentanan Ethereum. "Ethereum adalah pusat utama untuk aktivitas DeFi dan saat ini memiliki jumlah dana yang terkunci tertinggi dalam ekosistemnya," katanya. Koneksi Ethereum ke rantai privasi memfasilitasi pencucian dana curian dengan cepat. Ini membuatnya menjadi target menarik bagi peretas. Hanya 5% dari dana yang dicuri berhasil dipulihkan pada Q2 2024. Ini berjumlah $26,736,000 dalam empat situasi spesifik. Industri crypto menghadapi tantangan keamanan yang berkelanjutan. Seiring perkembangan pasar, demikian juga taktik aktor jahat.

BtcTurk, sebuah pertukaran mata uang kripto terkemuka di Turki, telah menjadi korban serangan siber. Insiden ini mengakibatkan akses tidak sah ke beberapa dompet panasnya. Pertukaran melaporkan kerugian aset untuk beberapa pengguna. Namun stabilitas keuangan secara keseluruhan tetap utuh, klaim pejabat BtcTurk. Peretasan terjadi pada 22 Juni. Itu menimbulkan kekhawatiran di komunitas kripto. Jumlah total yang hilang tetap dirahasiakan. BtcTurk menyatakan bahwa hanya dompet panas dari 10 mata uang kripto yang terkompromi. Dompet dingin yang menyimpan sebagian besar aset tetap aman. Pertukaran telah menonaktifkan semua transaksi penarikan dan deposit. CEO Binance Richard Teng mengumumkan penyelidikan bersama dengan BtcTurk. Itu telah mengarah pada pemulihan $5,3 juta dari aset yang dicuri. Teng menyatakan: "Binance sedang membantu BtcTurk dengan penyelidikan dan telah membekukan lebih dari $5,3 juta dana yang dicuri sejauh ini. Tim penyelidikan & keamanan kami bekerja sepanjang waktu sebagai bagian dari upaya proaktif kami untuk melindungi ekosistem dari aktor buruk. Kami akan memberikan pembaruan lebih lanjut yang relevan." Penyelidik on-chain ZachXBT memberikan wawasan tentang peretas potensial. Dia mengaitkannya dengan alamat yang baru-baru ini mentransfer 1,96 juta AVAX ($54,2 juta) ke Coinbase dan THORChain. Transfer ini menyebabkan penurunan harga AVAX sebesar 10%. Teori ZachXBT didasarkan pada alamat pasar AVAX BtcTurk di Avalanche X-chain. Pertukaran belum mengkonfirmasi atau menyangkal teori ini. BtcTurk meyakinkan pengguna tentang keamanan aset mereka. Itu mengklaim peretasan tidak mempengaruhi posisi keuangan yang kuat. Insiden ini menandai peretasan pertukaran kripto kedua pada tahun 2024. Pada bulan Mei, platform Jepang DMM Bitcoin kehilangan $305 juta dalam BTC. Peretasan pertukaran kripto menarik perhatian karena sifat kustodian mereka. Platform ini mengontrol kunci pribadi pengguna. Mereka sering memegang dana lebih besar daripada mitra keuangan terdesentralisasi (DeFi). Sebagai perspektif, Binance mencatat volume perdagangan harian 13 kali lipat dari Uniswap, pertukaran terdesentralisasi terbesar. Data ini berasal dari Coingecko.