Terbongkarnya serangan DeFi Poly Network: Cara peretas mencuri $10 juta akibat kompromi private key. Ketahui kerentanan keamanan cross-chain, strategi pencegahannya, serta upaya perlindungan aset di Gate dan platform lainnya.
Tinjauan Eksploitasi Poly Network
Seorang peretas berteknologi tinggi berhasil mengeksploitasi Poly Network baru-baru ini dan menyedot hampir $10 juta dalam ETH, menurut temuan yang diungkapkan oleh perusahaan keamanan blockchain Beosin. Insiden ini merupakan pelanggaran keamanan besar lainnya dalam ekosistem keuangan terdesentralisasi (DeFi), yang kembali menyoroti kerentanan berkelanjutan pada infrastruktur lintas rantai.
Poly Network, yang berperan sebagai jembatan lintas rantai untuk transfer aset antar jaringan blockchain, mengonfirmasi melalui media sosial pada awal Juli bahwa mereka menjadi korban terbaru eksploitasi DeFi. Serangan ini memungkinkan pelaku jahat mencetak token mata uang kripto senilai $34 miliar di berbagai jaringan blockchain.
Poly Network segera mengumumkan penangguhan layanan secara sementara setelah insiden untuk mencegah eksploitasi lanjutan dan melakukan investigasi menyeluruh. Langkah pencegahan ini diambil demi melindungi pengguna serta menilai dampak kerusakan secara menyeluruh.
Tim pengembang Poly Network mengungkapkan bahwa eksploitasi tersebut memungkinkan peretas mencetak 57 token berbeda di 10 blockchain utama, termasuk Ethereum, BNB Chain, Metis, Polygon, Avalanche, Heco, dan OKX. Pendekatan multi-chain ini menunjukkan kecanggihan serangan serta kerentanan mendasar pada protokol jembatan lintas rantai.
Setelah insiden, dompet peretas tersebut dikabarkan menampung lebih dari $42 miliar dalam bentuk token. Namun, meskipun nilai nominalnya sangat besar, peretas tidak dapat melikuidasi seluruh token hasil pencetakan artifisial tersebut karena kurangnya likuiditas di bursa terdesentralisasi dan berbagai langkah pengamanan dari protokol terdampak. Kondisi ini secara signifikan menurunkan dampak finansial nyata eksploitasi, meski potensi kerugiannya tetap besar.
Apa Penyebab Peretasan?
Berdasarkan hasil analisis mendalam dari pakar keamanan Beosin dan Dedaub, peretasan Poly Network kemungkinan terjadi akibat pencurian private key yang digunakan pada smart contract utama platform, bukan karena celah pada logika kontrak. Perbedaan ini sangat penting untuk memahami sifat pelanggaran keamanan dan penetapan langkah pencegahan yang tepat.
Analis keamanan menegaskan bahwa mereka tidak menemukan bukti eksploitasi dipicu oleh kelemahan pada arsitektur kode kontrak. Sebaliknya, bukti menunjukkan adanya kompromi keamanan yang lebih mendasar, yakni pada kontrol administratif jaringan.
Private key dari tiga dari empat dompet admin pengendali smart contract utama jaringan diduga telah dikompromikan, menurut hasil investigasi perusahaan keamanan tersebut. Serangan semacam ini termasuk pelanggaran keamanan paling serius pada infrastruktur blockchain karena sepenuhnya melewati logika smart contract dan mengeksploitasi faktor manusia dalam pengelolaan keamanan.
Sampai laporan ini diterbitkan, tim Poly Network belum memberikan klarifikasi atau konfirmasi resmi terkait tuduhan kompromi private key tersebut. Tim tetap berhati-hati dalam komunikasi publik selama proses investigasi internal berlangsung.
Tim pengembang menyatakan bahwa mereka sedang berkoordinasi dengan bursa tersentralisasi dan aparat penegak hukum untuk mengidentifikasi pelaku dan memulihkan dana yang dicuri. Pendekatan kolaboratif ini merupakan prosedur standar dalam kasus pencurian mata uang kripto besar, memadukan analisis on-chain dan metode investigasi tradisional.
Setelah peretasan Poly Network, CEO salah satu platform bursa terkemuka menegaskan kepada pelanggan bahwa insiden tersebut tidak berdampak pada pengguna mereka. Eksekutif tersebut menegaskan bahwa bursa tidak menerima deposit dari jaringan terkait, sehingga pengguna mereka tidak terekspos token yang dikompromikan.
Tim pengembang juga mengeluarkan imbauan mendesak kepada proyek yang terdampak untuk segera menarik likuiditas dari bursa terdesentralisasi sebagai langkah perlindungan. Selain itu, mereka meminta pengguna yang memegang aset terdampak untuk membuka kunci dan mengklaim kembali token liquidity pool yang terhubung dengan aset mata uang kripto tersebut guna meminimalkan potensi kerugian.
Dalam imbauan terakhir, tim meminta peretas mengembalikan dana yang dicuri untuk menghindari konsekuensi hukum, strategi yang kadang terbukti efektif pada kasus pencurian mata uang kripto profil tinggi sebelumnya.
Eksploitasi Besar Kedua pada Poly Network
Serangan terbaru ini merupakan eksploitasi besar kedua pada Poly Network dalam beberapa tahun terakhir, menimbulkan pertanyaan serius mengenai infrastruktur keamanan dan protokol operasional platform. Pola serangan berulang ini menandakan adanya kerentanan sistemik yang membutuhkan perbaikan arsitektural mendasar.
Pada tahun 2021, Poly Network dieksploitasi sekelompok peretas yang mencuri hampir $611 juta mata uang kripto, menjadikannya salah satu pencurian terbesar dalam sejarah kripto. Skala serangan tersebut mengejutkan industri blockchain dan memicu diskusi luas terkait keamanan jembatan lintas rantai.
Menariknya, pada insiden tahun 2021 tersebut, para peretas mengembalikan hampir seluruh aset curian dalam waktu dua hari, sehingga menimbulkan spekulasi seputar motif mereka—apakah sekadar demonstrasi white hat atau respon terhadap tekanan penegak hukum dan komunitas kripto.
Laporan keamanan dari insiden sebelumnya menyebutkan eksploitasi dipicu oleh dugaan kebocoran private key yang digunakan untuk menandatangani pesan lintas rantai. Kemiripan dengan serangan saat ini—keduanya melibatkan kompromi private key—mengindikasikan Poly Network masih menghadapi tantangan dalam pengamanan infrastruktur administratifnya, meskipun telah melakukan perbaikan pasca pelanggaran tahun 2021.
Terulangnya eksploitasi besar pada platform yang sama dalam kurun waktu singkat menegaskan tantangan keamanan yang konsisten pada protokol jembatan lintas rantai dan pentingnya sistem manajemen kunci yang kuat dalam infrastruktur terdesentralisasi.
FAQ
Apa itu insiden serangan Poly Network? Mengapa $10 juta kripto dicuri?
Poly Network diserang pada tahun 2021 karena kerentanan pada smart contract jembatan lintas rantainya. Penyerang memanfaatkan celah mekanisme verifikasi untuk memalsukan transaksi dan mengalirkan $10 juta dalam berbagai mata uang kripto. Insiden ini menyoroti risiko keamanan pada protokol jembatan terdesentralisasi.
Apa saja risiko keamanan pada protokol jembatan lintas rantai? Bagaimana mencegah insiden serupa di masa mendatang?
Jembatan lintas rantai menghadapi risiko seperti kerentanan smart contract, kolusi validator, dan pemeriksaan likuiditas yang kurang memadai. Pencegahan dilakukan melalui audit keamanan ketat, verifikasi multi-signature, jaringan validator terdesentralisasi, sistem pemantauan real-time, dan pembatasan bertahap transfer aset untuk mengendalikan potensi kerugian.
Apa dampak serangan Poly Network terhadap pengguna mata uang kripto dan ekosistem DeFi?
Serangan $10 juta pada Poly Network menyoroti kerentanan keamanan lintas rantai dan meningkatkan kewaspadaan pengguna pada jembatan multi-chain. Hal ini memperkuat tuntutan atas protokol dan audit keamanan yang lebih baik, mempercepat pematangan ekosistem DeFi serta kepercayaan pada infrastruktur jembatan.
Apa itu Poly Network? Apa fungsi utama dan tujuannya?
Poly Network adalah protokol interoperabilitas lintas rantai yang memungkinkan transfer aset dan komunikasi data secara seamless antar jaringan blockchain. Fungsi utamanya memfasilitasi solusi jembatan terdesentralisasi sehingga pengguna dapat menukar mata uang kripto dan token antar rantai secara efisien dan aman.
Bagaimana bursa mata uang kripto dan dompet melindungi dana pengguna?
Bursa dan dompet menerapkan autentikasi multi-signature, cold storage untuk perlindungan aset secara offline, protokol enkripsi, perlindungan asuransi, serta audit keamanan rutin untuk menjaga dana pengguna dari pencurian dan akses tidak sah.
Bagaimana cara mengidentifikasi dan menilai keamanan serta risiko protokol DeFi?
Evaluasi protokol DeFi dengan meninjau audit smart contract dari firma kredibel, menganalisis transparansi kode, memeriksa total value locked (TVL) dan volume transaksi, menilai kredibilitas tim, menelaah struktur tata kelola, serta memantau riwayat insiden keamanan. Gunakan platform analitik risiko untuk pemantauan protokol secara real-time.
* Informasi ini tidak bermaksud untuk menjadi dan bukan merupakan nasihat keuangan atau rekomendasi lain apa pun yang ditawarkan atau didukung oleh Gate.
