Judul asli: Rewind 20 Stolen Insides: Mengapa lingkaran selalu dicuri
Diterjemahkan Oleh : Changan, Biteye

Pada April 2026, Kelp DAO mencuri $292 juta, dan para penyerang meminjam aset nyata di Aave tanpa jaminan, menyebabkan lebih dari $ 200 juta dalam utang buruk dalam 46 menit。

Ini hanya salah satu dari banyak insiden pencurian sejak tahun ini, dengan $ 285 juta dicuri oleh Drift, sekitar $ 30 juta dicuri oleh Step Finance, sekitar $ 23 juta dicuri oleh Resolv Labs, dan satu demi satu, sebelum industri bisa bereaksi, dan proyek curian berikutnya telah muncul。

Apakah ada pola di balik peristiwa ini? Bagaimana hacker menyerang kesepakatan

Surat kabar ini mengumpulkan 20 kasus pencurian yang paling mewakili dalam sejarah dan di masa lalu, dan mencari jawaban。

Menurut 20 kasus yang telah kami susun, ada tiga pola yang jelas:

Kesenjangan teknis adalah mayoritas, tetapi kerugian tunggal relatif terbatas; sedikit kasus otoritas dan serangan terhadap karya sosial menyumbang mayoritas besar kerugian total。

Skala serangan kategori yang disahkan terus meningkat. Dalam 20 kasus, empat insiden terbesar kehilangan berada di belakang penampilan hacker Korea。

Lapangan pertempuran dari celah teknologi bergerak dan jembatan tidak pernah aman。

I. Top 10 Stolen Projects

1. Nama proyek: Bybit (stolen jumlah: $1.5B WOW waktu: Februari 2025)

Alasan pencurian:

Organisasi peretas Korea Utara Lazarus Group (FBI dan ZachXBT atribusi kepercayaan tinggi, code-named " Operation Traitor Traitor Traitor Trader") menggunakan pembajakan UI akhir depan + penipuan tandatangan ganda untuk memecahkan mekanisme tandatangan ganda Safe Wallet。

Para penyerang pertama kali menyusup ke peralatan pengembang inti Bybit dan menyuntikkan kode JavaScript jahat ke ujung depan dompet. Saat pemegang tandatangan ganda (6 tanda tangan) melakukan transfer dompet dingin biasa, UI menunjukkan alamat koleksi normal dan jumlah, tetapi Data Panggilan terbawah dirusak dan mengarahkan kembali 401.000 ETH ke alamat penyerang. 3/6 dari para penandatangan menyetujui transaksi dan dana itu hilang dalam sekejap。

Masalah dasar:Multiplesign mengandalkan lapisan interaktif mesin, di mana ujung depan tidak divalidasi secara independen untuk memberikan keamanan matematika tidak efektif; Tether tuther membekukan USDT yang terkait selama berjam-jam, sementara Circe membekukan USDC selama 24 jam, memperburuk kerugian. Insiden tersebut menyingkap serangan pekerja sosial + UI sebagai ancaman mematikan bagi platform perdagangan kimia pusat, memicu jaringan sertifikasi transaksi seperti Safenet。

Insiden itu sangat mirip dengan Protokol Drift (April 2026, $285M): target pekerja sosial membangun kepercayaan, diikuti oleh penipuan UI/signature, menandai pergeseran hacker dari celah kontraktual ke kelemahan "manusia。

Di tindak lanjut, Bybit dengan cepat menggunakan dana sendiri untuk menutupi semua kerugian secara penuh, memastikan bahwa pengguna kehilangan nol dan bahwa platform sekarang beroperasi secara mantap。

2. Nama proyek: Ronin Network (jumlah album: $624M waktu: Maret 2022)

Alasan pencurian:

Organisasi penggodam Korea Lazarus Group berhasil mengambil kendali penuh atas kunci pribadi dari node validasi melalui rekayasa sosial dan cara pintu belakang。

Para penyerang menyerang sistem internal Sky Mavis dan, menggunakan pintu belakang dari node RPC Bebas Gas, mengendalikan 5 dari 9 node validasi (termasuk 4 Sky Mavis node dan 1 Axie DAO node). Setelah itu, mereka membangun dua transaksi penarikan uang tunai, yang mengakibatkan penarikan 173.600 ETH dan 25.5M USDC secara ilegal。

Akar penyebab insiden tersebut adalah konsentrasi tinggi hak autentikasi dalam desain jembatan di beberapa node. Ambang 5 dari 9 tanda tangan untuk menyelesaikan operasi hampir tidak ada dalam menghadapi serangan sasaran oleh pekerja sosial。

3. Nama proyek: Poli Network (jumlah album: $611M waktu: Agustus 2021)

Alasan pencurian:

Alasan sentral pencurian PoliNetwork adalah kesenjangan serius dalam desain regulasi kontrak silang rantai。

Diagnosis menggunakan hubungan antara EthCross ChainManager dan EthCross ChainData, penyerang menempa fungsi yang dapat ditegakkan。

Karena EthCrossChainManager sendiri memiliki kekuatan untuk memodifikasi kunci publik Keeper, dan parameter metode yang digunakan pada panggilan dapat disesuaikan oleh pengguna, penyerang berhasil disebut fungsi PutCurCouchConKeyBytes, yang sebaliknya dieksekusi dengan hak istimewa tinggi。

Akibatnya, para penyerang mengganti kunci publik mereka dengan administrator yang sah, mendapatkan kontrol atas aset rantai silang dan akhirnya mentransfer uang dari rantai ganda。

4. Nama proyek: Lubang cacing (stolen jumlah: $326M waktu: Februari 2022)

Alasan pencurian:

Dalam keadaan normal, agar seorang pengguna dapat memindahkan aset dari satu rantai ke rantai yang lain, sistem harus terlebih dahulu mengkonfirmasi bahwa aset tersebut memang telah diendapkan dan bahwa tanda tangan yang bersangkutan adalah asli, sehingga aset yang bersangkutan akan dihasilkan pada rantai yang lain。

Masalah lubang cacing adalah dalam hal ini "pembuktian tanda tangan" langkah. Kode lubang cacing menggunakan satuIni ketinggalan jaman, dan fungsi kurang aman untuk memeriksa apakah transaksi itu legal. Fungsi ini dimaksudkan untuk memastikan apakah otentikasi tandatangan sebenarnya telah selesai di depan sistem. Namun, pemeriksaannya tidak ketat dan memberi para penyerang kesempatan untuk mengambil keuntungan dari mereka。

Si penyerang menggunakan celah ini, para penyerang memalsukan seperangkat informasi yang tampaknya telah "diverifikasi" untuk membuat sistem berpikir bahwa operasi rantai silang itu nyata. Dengan kata lain, sistem seharusnya memastikan bahwa Ømoney benar-benar terkunci di" pertama, tetapi karena rantai autentikasi dilewati, sistem langsung mempercayai sertifikat palsu yang diajukan oleh penyerang。

Akibatnya, para penyerang menciptakan sejumlah besar WeTH tanpa benar-benar menyimpan aset yang cukup. aset-aset aset ini dihasilkan dan selanjutnya dipindahkan dan dikonversi, mengakibatkan kerugian sekitar $326 juta untuk lubang cacing。

Nama proyek: Protokol Drift (stolel nomor: $285 M-time: April 2026)

Alasan pencurian:

Organisasi peretas dari DPRK mengalami enam bulan penyusupan yang ditargetkan dan menyelesaikan serangan bersama dengan skema Solana Durable Nonce pra-signed。

Sejak musim gugur tahun 2025, para penyerang telah menyamar sebagai perusahaan perdagangan kuantitatif, membangun hubungan kepercayaan off-line dengan kontributor Drift di pertemuan terenkripsi internasional dan menginvestasikan lebih dari $1 juta di Ecosystem Vault untuk membangun kredibilitas. Setelah mendapatkan keyakinan, para penyerang memancing anggota Dewan Keamanan ke dalam transaksi yang tampaknya tidak berbahaya sebelumnya: menggunakan Solana ' s Durable Nonce mekanisme untuk menyembunyikan transfer instruksi manajemen. Pada saat yang sama, Drift baru saja menyelesaikan migrasi ke nol penundaan, menghilangkan jendela untuk ex post deteksi dan intervensi。

SETELAH MEMPEROLEH HAK UNTUK MENGATUR PERJANJIAN, PARA PENYERANG MENDAFTARKAN CVT PALSU DENGAN LIKUIDITAS NYATA RATUSAN DOLAR, DAN DENGAN MENJUAL HARGA MANUFAKTUR PALSU MEREKA SENDIRI, MEREKA MEMASUKKAN 500 JUTA CVT SEBAGAI JAMINAN KE DALAM PERJANJIAN, MEMINJAMKAN $285 JUTA DI USDC, SOL DAN ETH. SELURUH FASE IMPLEMENTASI HANYA BERLANGSUNG SELAMA 12 MENIT。

Serangan itu disebabkan oleh Drift resmi dan tim keamanan SEAL 911 kepada organisasi terkait DPRK (organisasi peretas yang disponsori negara), bukan warga negara Korea, tetapi perantara pihak ketiga di bawah kendali mereka。

6. Nama proyek: WazirX (storlen jumlah: $ 235M 0: 2024 Juli)

Alasan pencurian:

Inti dari serangan itu adalah pelanggaran bertahap dompet dan akhirnya pengganti dengan kontrak jahat。

Para penyerang pertama kali memperoleh wewenang beberapa penandatangan (termasuk serangan langsung dan dorongan untuk menandatangani) dengan memancing, dll. Atas dasar itu, para penandatangan lainnya disesatkan oleh antarmuka palsu, yang memungkinkan mereka untuk menyetujui transaksi jahat tanpa pengetahuan。

Setelah mengumpulkan tanda tangan yang cukup, para penyerang tidak langsung mentransfer aset, tetapi sebaliknya menggunakan dompet gandaMekanisme yang dapat ditingkatkanLatihan upgrade kontrak dilakukan untuk menggantikan kontrak kinerja asli dengan kontrak jahat untuk penyebarannya。

Ketika kontrak jahat ditetapkan sebagai logika implementasi baru, semua transaksi selanjutnya dialihkan dan dana terus mengalir ke alamat penyerang. Pada akhirnya, kendali dompet ganda diambil alih sepenuhnya dan aset berantai dipindahkan secara bertahap。

Nama proyek: Cetus (stolen jumlah: $223M : 2025 Mei)

Alasan pencurian:

Serangan itu muncul dari celah dalam perjanjian ' s perhitungan likuiditas。

Secara khusus, terdapat kesalahan batas dalam fungsi matematika yang digunakan oleh Cetus untuk memproses angka besar. Ketika nilai mencapai titik kritis, sistem tidak mengidentifikasi tumpahan yang akan datang dengan benar dan terus menghitung, menghasilkan hasil yang diperbesar secara abnormal。

Para penyerang membangun proses sekitar ini:

kondisi harga extreme extreme dibuat melalui transaksi yang besar, posisi likuiditas diciptakan di zona spesifik dan hanya aset dalam jumlah yang sangat kecil yang diinvestasikan (dust level). di bawah kondisi ini, tumpahan dalam kontrak dipicu, yang menyebabkan sistem untuk menghitung bahwa agresor harus menerima bagian dari likuiditas jauh lebih dari input yang sebenarnya。

Selanjutnya, para penyerang menggunakan saham yang diperkuat ini untuk melaksanakan penghapusan operasi likuiditas, mengekstrak jauh lebih banyak aset dari kolam daripada diinvestasikan. Seluruh proses dapat diulangi, mengakibatkan terusnya penarikan dana dari kolam, yang akhirnya mengakibatkan kerugian skala besar。

Nama proyek: Gala Games (stolen jumlah: $216 M-time: 2024 Mei)

Alasan pencurian:

Inti dari serangan ini adalah bahwa kunci pribadi ke rekening koin otoritas tinggi telah rusak dan kontrol akses telah gagal。

Kontrakgala sendiri memiliki batas pada fungsi meint, tetapi salah satu pemegang kunci dari akun minter diperoleh. Akun itu tidak digunakan untuk waktu yang lama, tetapi mempertahankan hak istimewa yang penuh dan tinggi。

SETELAH MENDAPATKAN KONTROL AKUN, PENYERANG LANGSUNG DISEBUT KONTRAK ' S SEIGNIORAGE, CASTING SEKITAR 5 MILIAR TOKEN GALA DAN MENTRANSFER MEREKA KE ALAMAT PRIBADI MEREKA. SELANJUTNYA, PARA PENYERANG MENGUBAH KOIN MENJADI ETH DI PASARAN DALAM KELOMPOK DAN MENGUANGKANNYA。

Seluruh proses tidak memanfaatkan celah kontraktual yang cerdas, tetapi melakukan tindakan jahat secara langsung melalui otoritas hukum。

9. Nama proyek: Jaringan Campuran (stolen jumlah: $200M waktu: 2023)

Alasan pencurian:

Di jantung serangan itu adalah bahwa Mixin menyimpan kunci pribadinya di basis data awan yang dikelola pusat。

Jaringan mixin mengaku telah dipertahankan secara bersama oleh 35 node utama untuk mendukung 48 transfer cross-chain rantai publik, tetapi dompet panas dan kunci pribadi untuk sejumlah besar alamat deposit disimpan di basis data penyedia layanan cloud pihak ketiga dengan cara "ditemukan ". Pada jam-jam awal 23 September 2023, para penyerang memasuki database dan mengekstrak kunci-kunci pribadi secara massal。

KETIKA KUNCI PRIVAT DIPEROLEH, SI PENYERANG TIDAK HARUS MEMECAHKAN LOGIKA KONTRAKTUAL APAPUN DAN MENANDATANGANI TRANSFER SECARA LANGSUNG DALAM KAPASITAS HUKUM. CATATAN BERANTAI MENUNJUKKAN BAHWA PARA PENYERANG MENGOSONGKAN ALAMAT MEREKA DALAM URUTAN DI MANA SALDO BERADA DALAM URUTAN DI MANA MEREKA TINGGI KE RENDAH, MELIBATKAN LEBIH DARI 10.000 TRANSAKSI BERLANGSUNG BEBERAPA JAM, DENGAN ASET UTAMA TERMASUK SEKITAR $95,3 JUTA ETH, $ 23,7 JUTA BTC DAN $ 23,6 JUTA USDT, DARI YANG USDT DENGAN CEPAT DIUBAH KE DAI UNTUK MENGHINDARI PEMBEKUAN。

Nama proyek: Euler Finance (jumlah yang dicuri: $197M pada Maret 2023)

Alasan pencurian:

Di jantung serangan adalah ketidak konsistenan antara aset yang mendasari dan logika perhitungan dari liabilitas dan eksploitasinya oleh Fasilitas Flash。

Secara khusus, fungsi DonateToReserve dari Euler hanya menghancurkan eToken, mewakili aset hipotek, tetapi tidak secara bersamaan menghancurkan dToken, mewakili utang, mengakibatkan rusaknya korespondensi \"kolateral\" dan \"liabilitas\" sistem。

Dalam kasus semacam itu, perjanjian tersebut dengan salah menganggap bahwa pengurangan aset yang terendam dan perubahan struktur utang menciptakan keadaan aset abnormal。

Para penyerang membangun serangkaian prosedur operasi di sekitar ini:

Pertama, Anda meminjam sejumlah besar uang melalui pinjaman flash, Anda deposit dan pinjaman dalam perjanjian, dan Anda re-mesin jumlah eToken dan dToken. Diagnona menggunakan defisiensi logika yang disebutkan di atas, sistem terus menghasilkan posisi aset/liabilitas yang tidak benar, sehingga memperoleh garis peminjaman melebihi kapasitas agunan yang sebenarnya。

Setelah mendapatkan kapasitas pinjaman yang sangat ditingkatkan, para penyerang menarik dana dalam kelompok dan memindahkannya melalui berbagai aset (DAI, USDC, steTH, wBTC). Proses ini diselesaikan dalam transaksi tunggal dan, melalui operasi ganda, hasil-hasilnya diperkuat, mengakibatkan kerugian sekitar $197 juta。

\"Old II\". 10 proyek baru-baru ini dicuri

Nama proyek: Hyperbridge (stolen jumlah: kira-kira $2,5 juta, April 2026)

Alasan pencurian:

Di jantung acara ini adalah bukti bahwa logika Token Gateway cacat。

Si penyerang menempa sertifikat rantai silang yang seharusnya tidak lulus. Sistem ini secara keliru menganggap sertifikat yang tidak sah ini sebagai bukti yang valid, para penyerang diberikan otoritas regulasi lebih lanjut untuk mengakses kontrak DOT di Etherject, kemudian menemukan sekitar 1 miliar DOT palsu dan menjualnya di Dex。

Pada saat yang sama, serangan tersebut juga mempengaruhi kolam DOT di Ethereum, Base, BNB Chain dan Arbitrum, yang kemudian direvisi oleh pejabat berwenang untuk mencerminkan kerugian yang diperkirakan sekitar US $ 237.000。

2. Nama proyek: Venus Protocol (jumlah yang dijual: kira-kira $3.7 hingga $5 juta, Maret 2026)

Alasan pencurian:

ke jantung serangan ini adalah pengesahan cap surply yang dapat dilewati, dan logika superseding pertukaran perhitungan detak digunakan。

Secara khusus, selama perhitungan dana pasar, Venus secara langsung menggunakan balanceof() untuk membaca neraca nyata dalam kontrak; namun, batas subply cap hanya diperiksa dalam proses mint()。

Dengan mentransfer ke aset bawah (ERC-20 transfer) langsung ke kontrak vToken, para penyerang memotong mint(), sehingga menghindari verifikasi cap ekstensi。

Setelah dana ini dimasukkan dalam neraca kontraktual, sistem menganggap aset pool telah meningkat dalam menghitung nilai tukar, tetapi kuantitas vToken yang bersangkutan tidak meningkat, mengakibatkan nilai tukar yang luar biasa tinggi。

Dalam kasus demikian, nilai aset agunan asli di tangan penyerang telah diperkuat, sehingga jauh lebih tinggi daripada kapasitas peminjaman yang sebenarnya。

Selanjutnya, para penyerang, menggunakan nilai agunan yang ditingkatkan, berulang kali meminjam dan menaikkan harga dan meminjam dari siklus, mengekstrak aset ganda dari perjanjian, mengakibatkan kerugian sekitar $5 juta。

Nama proyek: Resolv Labs (jumlah dijual: kira-kira $ 23 sampai $ 25 juta, Maret 2026)

Alasan pencurian:

Pada jantung serangan adalah patahnya kunci tanda tangan, dan kontrak rantai tidak memiliki tutup pada koin。

Proses pengecoran USR milik Zoda Resolv bergantung pada layanan berbasis rantai: pengguna menyerahkan permintaan dan kemudian menandatanganinya dengan sistem yang memegang kunci private yang diberi hak istimewa (SERVICE ROLE) dan akhirnya kontrak mengeksekusi foundry。

Akan tetapi, kontrak itu sendiri hanya memeriksa apakah tanda tangan tersebut valid, tidak memverifikasi apakah jumlah pengecoran tersebut masuk akal, tidak memiliki rasio agunan, prognostik harga atau pembatasan pengecoran maksimum。

Para penyerang menyerang proyek 's infrastruktur awan dan mendapatkan kunci pribadi tanda tangan sehingga mereka bisa menghasilkan tanda tangan hukum mereka sendiri。

DENGAN IZIN TANDATANGAN, PARA PENYERANG MENGGUNAKAN SEJUMLAH KECIL USDC (KIRA-KIRA US$ 100.000 HINGGA US$ 200.000) SEBAGAI INPUT, MEMALSUKAN PARAMETER DAN LANGSUNG CASTING SEKITAR 8 JUTA USR TANPA DUKUNGAN AGUNAN。

SELANJUTNYA, USR YANG TIDAK BERKOLATERALISASI INI DENGAN CEPAT DIUBAH MENJADI CURRENCIES STABIL LAINNYA DAN AKHIRNYA KE ETH, DAN DANA SECARA BERTAHAP DIPINDAHKAN KELUAR, SEMENTARA SEJUMLAH BESAR PERSEDIAAN TAMBAHAN MENYEBABKAN PENURUNAN HARGA USR YANG CEPAT。

Nama proyek: Saga (penduduk: kira-kira $7 juta, Januari 2026)

Alasan pencurian:

Inti dari serangan ini adalah logika validasi cacat dari EVM prekompile Bridge。

SagaEVMA menggunakan EVM berdasarkan Ethermint, dan ada celah yang tidak terdeteksi dalam kode yang mempengaruhi logika validasi transaksi melintasi jembatan rantai。

Dengan membangun transaksi tertentu, para penyerang melewati jembatan untuk memastikan apakah aset yang telah disematkan telah disimpan dan ” pembatasan pasokan mata uang yang stabil ”。

Pada kasus sertifikasi circuitvention, sistem menganggap informasi palsu ini sebagai operasi cross-chain yang sah dan menempa sejumlah mata uang stabil sesuai dengan proses. Dengan tidak adanya dukungan jaminan nyata, para penyerang dapat menempa sejumlah besar mata uang stabil tanpa biaya dan mengubahnya menjadi aset nyata dalam perjanjian tersebut。

Pada akhirnya, dana yang disepakati ditarik secara konsisten, mata uang yang stabil dipecah dan sekitar $7 juta aset dipindahkan。

Nama proyek: Solv (penduduk: kira-kira $2,5 juta, Maret 2026)

Alasan pencurian:

Pada jantung serangan itu adalah celah ganda-koin (ditriggered by re-entry) dalam kontrak BRO Vault。

Secara khusus, ketika menerima aset ERC-3525, panggilan kontrak doSafeTransferin, sementara ERC-3525 didasarkan pada ERC-721 dan pemicu onERC 721 Menerima transfer selama proses transfer keamanan。

Dalam proses ini, kontrak melakukan pengecoran koin dalam proses utama, dan dalam fungsi back-to-back itu memicu operasi koin casting lainnya。

Sejak recall berlangsung sebelum seigniorage pertama belum sepenuhnya selesai, penyerang dapat memicu koin dua kali dalam operasi deposit tunggal untuk membentuk jalur re-entry tipikal. Dengan membuat penggunaan berulang dari celah, penyerang diperkuat sejumlah kecil aset menjadi volume besar BRO, mengubahnya menjadi SolvBTC dan memindahkan mereka keluar。

Nama proyek 6. Nama proyek: Aave (tidak langsung terpengaruh, risiko utang yang buruk sekitar $177 juta hingga $236 juta, April 2026)

Alasan pencurian:

Aave, tapi mekanisme sertifikasi cross-link dari Kelp DAO gagal。

Para penyerang mengirim pesan palsu ke jembatan antar-rantai berdasarkan LayerZero, yang menyebabkan pelepasan dan pengecoran yang salah dari sekitar 116.500 rsETH tanpa benar-benar ditempatkan di ETH. RESETH ini tidak didukung oleh aset nyata tetapi digunakan sebagai jaminan normal dalam sistem。

Selanjutnya, para penyerang memasukkan rsETH yang tidak terkolateralisasi ini ke dalam Aave sebagai jaminan dan meminjam sejumlah besar aset nyata (WETH). Parameter Aave ' s set-up memungkinkan untuk hipotek dan pinjaman skala besar, penyerang menyelesaikan pinjaman dan transfer dana dalam jangka waktu singkat。

Hasil akhir adalah:Si penyerang memindahkan risiko ke Aave dengan "menampuni aset agunan dan meminjamkan aset nyata" untuk menciptakan utang buruk berskala besar。

Nama proyek: YieldBlox (jumlah dijual: sekitar $10,2 juta, Februari 2026)

Alasan pencurian:

KE JANTUNG SERANGAN INI ADALAH PREDIKSI BAHWA HARGA MESIN DAPAT DIMANIPULASI OLEH TRANSAKSI TUNGGAL (MEKANISME MOBILITAS RENDAH + VWAP)。

Sebelum serangan, transaksi USTRY/USDC memiliki sedikit likuiditas dan tidak memiliki perdagangan normal pada jendela harga prediktor. Nubuat-nubuat Pencerminan yang digunakan oleh YieldBlox didasarkan pada VWAP (trade-weighted price), dalam hal ini transaksi tunggal dapat menentukan harga。

PARA PENYERANG BERHASIL MENAIKKAN HARGA PROGNOSIS MENJADI SEKITAR $106 DENGAN MENGGANTUNG HARGA EKSTREM (SEKITAR 500 USDC/USTRY) DAN MENGGUNAKAN AKUN LAIN UNTUK MENYELESAIKAN TRANSAKSI DALAM JUMLAH YANG SANGAT KECIL (SEKITAR 0.05 USTRY)。

SETELAH HARGA DIPERKUAT, UNTRY YANG DIPEGANG OLEH PARA PENYERANG SECARA SISTEMATIS DIPERLAKUKAN SEBAGAI AGUNAN BERNILAI TINGGI, SEHINGGA MENDAPATKAN GARIS PEMINJAMAN DENGAN BAIK DI ATAS NILAI NYATA. SELANJUTNYA, PARA PENYERANG LANGSUNG MEMINJAMKAN SEMUA ASET (XLM DAN USDC) DI KOLAM RENANG UNTUK MENYELESAIKAN PENARIKAN DANA。

8. Nama proyek: Keuangan Langkah (stolen jumlah: kira-kira $ 30 juta sampai $ 40 juta, Januari 2026)

Alasan pencurian:

Hal ini mengakibatkan hilangnya kunci pribadi atau proses tandatangan。

Para penyerang mendapatkan akses ke proyek ' s dompet melalui tim peretas ' s peralatan eksekutif. Kunjungan semacam itu bisa mencakup akses langsung ke kunci pribadi atau gangguan dengan proses tandatangan transaksi dengan membenamkan proses jahat untuk memungkinkan manajer menyetujui transaksi jahat tanpa pengetahuan。

Setelah akuisisi kontrol, para penyerang mengoperasikan beberapa dompet Solana yang dikendalikan oleh proyek tersebut, termasuk mengeluarkan aset yang tidak dipungut dan mentransfer dana. Seluruh proses tidak mengatasi kesenjangan dalam kontrak cerdas, tetapi langsung menggunakan hak akses dompet yang diperoleh untuk menyelesaikan transfer dana。

Pada akhirnya, transfer dana proyek skala besar mengakibatkan kerugian sekitar $ 30 juta dan memicu penurunan tajam harga token。

Nama proyek: Truebit (stolen jumlah: kira-kira $26 juta, Januari 2026)

Alasan pencurian:

DI JANTUNG SERANGAN INI TERDAPAT CELAH INTEGER DALAM FUNGSI PURCHASING PRICING。

. Pada perhitungan harga BuyTRU(), multiple pendaraban dan penambahan besar terlibat, tetapi kontrak disusun menggunakan Solidity 0.6.10 dan baku tidak tumpah。

saat para penyerang memasuki parameter besar tertentu, perhitungan intermediate ditindih dan nilai-nilai dibulatkan sehingga menghasilkan harga pembelian nol yang tidak normal atau bahkan nol。

PADA KASUS INI, PARA PENYERANG DAPAT MEMBELI SEJUMLAH BESAR TRU DENGAN BIAYA SANGAT RENDAH ATAU BAHKAN NOL。

Logika penjualan dari perjanjian (sellTRU() masih dihitung berdasarkan aturan normal, dan cadangan ETH dalam kontrak dapat dikonversi pro rata。

Para penyerang kemudian mengulangi:

BELIKAN TRU PADA HARGA RENDAH/NOL

Kelanjutan penarikan dana dari perjanjian melalui beberapa putaran operasi mengakibatkan kerugian sekitar $ 26 juta。

Nama proyek: Makina (penduduk: kira-kira $4.1 juta, Januari 2026)

Alasan pencurian:

Inti dari serangan adalah kebergantungan pada data kolam renang Curve eksternal untuk perhitungan AUM / sharePrice, yang tidak diverifikasi dan dimanipulasi oleh uang flash。

Para penyerang meminjam sejumlah besar uang melalui pinjaman kilat, likuiditas yang disuntik sementara ke dan diperdagangkan di beberapa kolam Curve, dan secara artifisial mengubah kondisi kolam dan perhitungan terkait (misalnya nilai LP, perhitungan witdraw, dll)。

Data yang dimanipulasi ini digunakan oleh perjanjian secara langsung untuk perhitungan AUM (asset manajemen skala) dan selanjutnya mempengaruhi SharePrice。

Karena kurangnya validasi efektif atau pemberatan waktu data eksternal, sistem menganggap anomali ini sebagai nilai nyata, yang menghasilkan:

• AUM TELAH DIBESARKAN SECARA SIGNIFIKAN

SharePrice sangat disederhanakan

Setelah mengangkat SharePrice, para penyerang menggunakan diferensial harga ke arbitrate aset dari kolam DUSD/USDC untuk mendapatkan keuntungan。

/ III. Pola umum dan wahyu 20 insiden pencurian

Dari 20 insiden ini, kita benar-benar dapat melihat tren yang semakin jelas: hanya ada dua cara hacker dapat mencuri aset besar: celah teknologi dan rekayasa sosial。

1. Pengungsi teknis: Jalur migrasi yang jelas dapat dilihat pada waktu distribusi kasus kesenjangan teknis。

Lubang kecil teknis awal sangat terkonsentrasi pada jembatan, pertumbuhan tercepat, kode paling mutakhir, dan infrastruktur termuda pada tahap itu. Ini membawa sejumlah besar aset tetapi belum mengalami pengujian konfrontasi yang cukup。

Industri ini kemudian mulai fokus pada keamanan jembatan lintas rantai, mekanisme sertifikasi umumnya diperkuat dan kesenjangan teknis skala besar di jembatan dikurangi secara signifikan. Tapi celah itu tidak hilang, itu hanya terjadi di tempat yang berbeda -- ke logika matematika dalam perjanjian DeFi, desain mesin prognosis, dan kebergantungan pada bank pihak ketiga。

- Cetus: batas perpustakaan matematika salah

• Truebit: tumpahan integer dari versi lama kompilator

Terlalu percaya pada pasar berliku rendah untuk ramalan。

Hanya ada satu inti di balik ini: wajah serangan selalu mengikuti aset, mengikuti dimensi lama dan baru kode, mengikuti zona buta audit. Sebuah tipe infrastruktur tertentu ditargetkan, industri mulai fokus, pertahanan diperkuat, dan penyerang kemudian pindah ke pertumbuhan tercepat berikutnya dan pertahanan paling lemah。

Karya sosial: Dari 20 kasus pencurian ini, 4 telah diidentifikasi atau sangat terkait dengan organisasi peretas negara Korea Ronin, WazirX, Bybit, Drift, dengan total kerugian lebih dari $2,5 miliar。

Menurut Chainalysis, Asosiasi Peretas Terkait Korea Utara mencuri lebih dari $2 miliar aset enkripsi pada tahun 2025 saja, akuntansi hampir 60 persen dari total enkripsi global yang dicuri pada tahun itu. Dibandingkan dengan 2024, jumlah serangan peretas di Republik Rakyat Demokratik ' s Republik Korea berkurang 74 persen, tetapi jumlah rata-rata per serangan meningkat secara signifikan。

Penggodam Korea Utara juga terus meningkat, dari intrusi langsung sistem internal selama periode Ronin untuk memasok serangan rantai di Bybit, untuk menyusup di bawah garis Drift enam bulan, setiap kali menemukan pendekatan baru di luar garis yang ada。

Ini bahkan lebih mengkhawatirkan bahwa peretas Korea juga membenamkan dalam industri enkripsi global karyawan menyamar sebagai pengembang yang, setelah mereka memasuki perusahaan target, akan memetakan struktur sistem internal, mendapatkan akses ke repositori kode, dan diam-diam memasukkan mereka ke pintu belakang kode produksi。

Ruang lingkup efek yang dicuri semakin melebar: insiden awal pencurian, dampaknya sebagian besar terbatas pada kesepakatan itu sendiri, tetapi karena DeFi menjadi lebih konglomerat, dampak single-point mulai ditransmisikan secara eksternal。

Setelah pencurian, setidaknya 20 perjanjian yang mengandalkan mobilitas atau strateginya terganggu, ditangguhkan atau langsung hilang, dan 50 persen TVL Protokol Carrot terpengaruh。

Aave: Kontrak Aave sendiri benar-benar tidak bermasalah, dan hanya dengan menerima rSETH dari Kelp DAO sebagai jaminan, kegagalan jembatan eksternal secara langsung mentransmisikan risiko utang buruk Aave。

Pola-pola ini pada akhirnya menunjuk kepada suatu kenyataan: menagih aset dalam suatu perjanjian, bukan hanya mempercayai kode perjanjian. Pada saat yang sama, Anda percaya penilaian dan keamanan operasional setiap aset eksternal yang mengandalkan, setiap layanan pihak ketiga, dan mereka yang memiliki otoritas manajerial。

Pada periode akhir-akhir ini, satu demi satu, Polymarket datang pada baris hanya bulan ini: "Apakah ada proyek cincin mata uang yang telah dicuri lebih dari 100 M tahun ini?" dan berakhir di pasar sebelum satu bulan. Ini bukan kecelakaan bahwa aset DeFi tumbuh dalam ukuran, bahwa ketergantungan antara perjanjian adalah memperdalam, tetapi kemampuan untuk menjaga uang tidak berjalan dengan ini。

Tekanan untuk keamanan masih belum lepas, tetapi dimensi ancaman meningkat。Pada April 2000, Claude Mythos Preview, yang dirilis oleh Anthropic, menemukan ribuan lubang berisiko tinggi di setiap sistem operasi arus utama dan peramban dan mampu mengubah 72 persen lubang yang diketahui menjadi jalur serangan yang tersedia。

Kemampuan ini, sekali secara sistematis memindai kontrak pintar, berarti bahwa celah dalam industri DeFi akan ditemukan dan dieksploitasi pada tingkat yang belum pernah terjadi sebelumnya. Pada saat yang sama, pihak proyek dapat secara proaktif menggunakan alat ini untuk melakukan pemeriksaan diri, mengidentifikasi dan memperbaiki potensi risiko di muka dan selanjutnya meningkatkan kemampuan perlindungan keselamatannya sendiri。

Bagi pengguna biasa, kasus ini dapat memberikan beberapa pemahaman langsung:

1. ^ a b c d e f g h i j k l m n.Jangan berkonsentrasi aset dalam satu perjanjian。Penyimpanan terdesentralisasi, sementara tidak sepenuhnya menghilangkan risiko, akan mengendalikan batas atas dari satu kerugian。

Kampung 2.Jaga jarakmu dari perjanjian baru。Sebagian besar lubang teknis ditemukan lebih awal setelah kesepakatan online. Perjanjian yang telah beroperasi selama dua tahun, telah menjalani beberapa putaran audit dan pengujian stres nyata, jauh lebih aman daripada kesepakatan yang memberikan pengembalian tinggi segera online。

Kampung 3.Apakah perjanjian itu benar-benar menguntungkan。Kemampuan nyata untuk membayar ketika suatu kerugian terjadi tercapai ketika sebuah perjanjian pembuatan keuntungan ditemukan. Perjanjian-perjanjian yang beroperasi dengan insentif token dan tidak memiliki pendapatan nyata sendiri, dan dalam hal suatu insiden, program kompensasi sering kali terbatas pada koin atau gambar baru。

Infrastruktur keuangan yang benar - benar matang tidak akan menjaga keamanan selamanya di balik target pertumbuhan. Berita pencurian tidak akan berhenti sampai hari itu tiba。

Bahasa Asli