Dalam kes Kelp DAO, penyerang didakwa mengeksploit konfigurasi keselamatan bridge LayerZero yang terlalu lemah, iaitu hanya bergantung pada satu validator atau satu tandatangan untuk mengesahkan mesej rentas rantaian.
Akibatnya, penyerang boleh memalsukan deposit seolah-olah ia benar-benar berlaku, lalu mencipta rsETH yang tidak disokong aset sebenar sebelum menggunakannya sebagai cagaran untuk meminjam ETH yang bersih dari protokol pinjaman seperti Aave dan Compound.
Untuk memudahkan kefahaman, senarai A hingga Z di bawah bukan bermaksud semua teknik ini digunakan dalam satu serangan yang sama. Sebaliknya, ia ialah peta besar teknik yang sering digunakan hacker dalam dunia crypto, termasuk yang disebut secara langsung dalam video, serta corak serangan yang telah dikenal pasti oleh firma forensik blockchain dan keselamatan industri.
A — Approval phishing ialah teknik memperdaya mangsa supaya menandatangani kelulusan token tanpa sedar, membolehkan penyerang mengosongkan wallet tanpa perlu mengetahui seed phrase. Contoh mudah, mangsa klik laman palsu “airdrop”, tekan butang connect wallet, kemudian meluluskan akses USDT atau ETH tanpa membaca butiran transaksi.
B — Bridge exploit berlaku apabila bridge antara blockchain mempunyai kelemahan pada smart contract, validator, atau logik pengesahan mesej. Contohnya seperti yang diterangkan dalam video, hacker memintas proses semakan dan berjaya melepaskan token pada satu rangkaian tanpa deposit sebenar pada rangkaian asal.
C — Compromised private key bermaksud kunci peribadi dicuri melalui malware, kebocoran sistem, atau amalan keselamatan yang lemah. Jika private key validator, multisig signer, atau hot wallet jatuh ke tangan penyerang, aset boleh dipindahkan terus tanpa halangan.
D — Drainware merujuk kepada kontrak atau skrip jahat yang direka untuk “menyedut” aset selepas mangsa menandatangani transaksi tertentu. Dalam bahasa mudah, ia seperti perangkap digital yang nampak seperti fungsi biasa tetapi sebenarnya memberi kuasa penuh kepada hacker untuk memindahkan token keluar.
E — Exploiting escrow logic berlaku apabila mekanisme simpanan cagaran atau escrow pada bridge atau protokol tidak menyemak keadaan sebenar aset dengan betul. Dalam kes video ini, adapter bridge menganggap mesej rentas rantaian itu sah lalu melepaskan keseluruhan posisi rsETH dari escrow, walaupun tiada ETH sebenar pernah dikunci pada chain asal.
F — Fake deposit attack ialah teknik mencipta deposit palsu yang dilihat sah oleh sistem. Contoh yang paling senang difahami ialah sistem bridge sepatutnya hanya keluarkan token jika deposit benar-benar berlaku, tetapi hacker berjaya menghantar bukti palsu yang diterima sebagai transaksi sah.
G — Governance blindness bukan semestinya serangan terus, tetapi kelemahan apabila komuniti atau pentadbir protokol sudah diberi amaran dan tetap mengabaikannya. Video itu menyebut bahawa risiko “single validator” pada rsETH pernah dibangkitkan lebih awal dalam forum tadbir urus Aave, namun amaran itu tidak menghasilkan perlindungan yang cukup.
H — Hot wallet compromise ialah serangan ke atas wallet yang sentiasa dalam talian dan digunakan untuk operasi harian. Menurut TRM Labs, kompromi hot wallet dan operator multisig kini antara kategori serangan terbesar dalam kecurian crypto moden kerana ia menyasarkan pintu masuk yang benar-benar mengawal dana
I — Impersonation berlaku apabila hacker menyamar sebagai sokongan pelanggan, pasukan projek, KOL, atau rakan mangsa untuk mendapatkan akses atau kelulusan transaksi. Contohnya, mangsa menerima DM kononnya daripada “admin rasmi” yang menyuruh semak wallet di laman tertentu, sedangkan itu laman penipuan.
J — Jamming response time bermaksud penyerang bertindak sangat pantas atau serentak di beberapa protokol supaya pasukan keselamatan lambat membekukan kerosakan. Dalam video, aset curi terus digunakan sebagai cagaran di beberapa protokol pinjaman sekali gus, menjadikan serangan lebih sukar dibendung pada minit-minit awal.
K — Key-signer takeover ialah apabila satu kunci tandatangan yang sangat penting diambil alih, contohnya signing key validator bridge. Dalam insiden Kelp DAO, video itu menegaskan bahawa seluruh keselamatan bridge bergantung pada satu entiti, jadi satu tandatangan sahaja cukup untuk memalsukan mesej rentas rantaian.
L — Laundering through lending markets ialah teknik menukar aset curi yang sukar dijual kepada aset yang lebih bersih dan cair melalui protokol pinjaman. Dalam video tersebut, hacker tidak terus menjual rsETH di DEX kerana itu akan menjatuhkan harga terlalu cepat; sebaliknya dia mencagarkan rsETH dan meminjam WETH yang lebih mudah dipindahkan dan dicairkan.
M — Mixer usage seperti Tornado Cash digunakan untuk memecahkan jejak transaksi dan menyukarkan pengesanan sumber dana. Video itu menyebut penyerang membiayai beberapa wallet operasi melalui Tornado Cash sebelum eksploit berlaku, satu corak yang sering digunakan untuk menyembunyikan persiapan serangan.
N — Network design attack merujuk kepada serangan yang tidak semestinya berpunca daripada bug kod, tetapi daripada reka bentuk keselamatan yang lemah. Chainlink dan Merkle Science menerangkan bahawa bridge sangat berisiko apabila seni bina pengesahan atau validator terlalu sedikit, kerana kegagalan satu komponen boleh membuka laluan kepada pemindahan palsu.
O — Oracle abuse berlaku apabila penyerang memanipulasi atau mengeksploit cara harga atau status aset dibaca oleh protokol lain. Dalam banyak serangan DeFi, jika oracle lambat atau salah melaporkan nilai aset, hacker boleh meminjam lebih banyak daripada yang sepatutnya atau mengelakkan pelupusan awal.
P — Price manipulation biasanya dibuat melalui kecairan nipis, pinjaman kilat, atau dagangan besar untuk mengubah harga sementara. Contoh mudah, hacker menaikkan atau menjatuhkan harga token dalam masa singkat supaya sistem pinjaman membaca cagaran pada nilai palsu
Q — Quick chain-hopping ialah memindahkan dana dengan cepat dari satu blockchain ke blockchain lain menggunakan bridge dan swap supaya penyiasat sukar mengejar aliran dana. TRM Labs menerangkan bahawa penjenayah sering menggunakan rentas-rantaian untuk mengaburkan pergerakan wang curi sebelum ia sampai ke tempat pertukaran atau perkhidmatan lain.
R — Rug pull infrastructure biasanya merujuk kepada projek yang sejak awal dibina untuk menipu, tetapi dari sudut teknik ia juga melibatkan kontrak yang memberi kuasa istimewa kepada pencipta untuk mengunci, menghalang jualan, atau menarik semua kecairan. Mangsa sering tertipu kerana antaramuka nampak profesional walaupun logik kontraknya jahat.
S — Social engineering ialah teknik yang paling klasik dan masih paling berkesan, iaitu menipu manusia, bukan mesin. TRM Labs menegaskan bahawa banyak kecurian berskala besar berpunca daripada social engineering dan pencurian kredensial, termasuk menyasarkan pembangun, operator exchange, atau pemegang kunci multisig.
T — Test transaction staging ialah langkah persediaan di mana hacker menghantar transaksi kecil atau melakukan ujian awal sebelum serangan penuh. Elliptic mendapati dalam satu eksploit besar lain, wallet penyerang diwujudkan beberapa hari lebih awal dan menerima pemindahan ujian kecil, menunjukkan operasi itu dirancang secara teliti, bukan dilakukan secara spontan.
U — Unbacked token minting berlaku apabila sistem membenarkan token baharu dikeluarkan tanpa sandaran aset sebenar. Video Kelp DAO menunjukkan rsETH “muncul dari udara” secara praktikal kerana sistem mempercayai pengesahan rentas rantaian yang palsu.
V — Validator takeover ialah situasi apabila penyerang mengawal validator bridge atau cukup banyak validator untuk meluluskan transaksi palsu. Merkle Science menjelaskan bahawa jika majoriti validator jatuh ke tangan penyerang, mereka boleh meluluskan pemindahan rentas rantaian yang tidak sah seolah-olah ia benar-benar berlaku.
W — Wallet clustering evasion ialah cubaan memecahkan dana ke banyak alamat supaya jejak transaksi nampak berpecah dan lebih rumit dianalisis. Dalam video, penyerang menggunakan sembilan wallet operasi yang dibiayai berasingan, satu contoh bagaimana pelaku cuba memecahkan pola dan menyebarkan operasi mereka.
X — Cross-protocol contagion mungkin bukan istilah teknikal rasmi bermula dengan X, tetapi sesuai menggambarkan bagaimana satu serangan merebak ke banyak protokol yang saling terhubung. Video itu menunjukkan bagaimana eksploit bridge Kelp DAO bertukar menjadi krisis Aave, Compound, dan seluruh pasaran DeFi kerana aset yang sama diterima sebagai cagaran di pelbagai tempat.
Y — Yield bait berlaku apabila pengguna terlalu tertarik kepada pulangan tinggi lalu mengabaikan risiko struktur produk. Video ini menerangkan bahawa liquid restaking token seperti rsETH meledak kerana janji hasil tambahan, tetapi ramai pengguna mungkin tidak memahami bahawa keselamatan aset itu juga bergantung pada bridge dan konfigurasi validator di belakang tabir.
Z — Zero-margin collateral assumption merujuk kepada andaian berbahaya bahawa cagaran akan sentiasa boleh ditebus atau dijual hampir pada nilai penuh. Dalam kes ini, apabila sandaran sebenar aset runtuh, nisbah pinjaman yang sebelum itu nampak selamat terus gagal, dan protokol pinjaman terperangkap dengan hutang lapuk kerana tiada siapa mahu mengambil alih cagaran yang sudah hilang nilai sebenar.
Pelajaran paling besar ini ialah hacker crypto moden tidak semestinya “pecahkan” smart contract secara kasar. Kadangkala mereka hanya mencari satu titik kepercayaan yang terlalu lemah, satu tandatangan, satu validator, satu approval, atau satu operator manusia, kemudian menggunakan keseluruhan ekosistem DeFi yang saling bersambung untuk menggandakan kerosakan.
Contoh paling mudah untuk orang biasa faham ialah begini: bayangkan sebuah bank hanya perlukan satu pengawal untuk sahkan peti besi, dan bank-bank lain pula sedia menerima resit dari bank itu sebagai cagaran tunai. Jika pengawal itu dipalsukan, penjenayah bukan sekadar boleh ambil wang dari satu bank, malah boleh guna resit palsu itu untuk meminjam wang sebenar dari bank-bank lain juga. Itulah yang menjadikan serangan crypto moden sangat berbahaya.
Untuk memudahkan kefahaman, senarai A hingga Z di bawah bukan bermaksud semua teknik ini digunakan dalam satu serangan yang sama. Sebaliknya, ia ialah peta besar teknik yang sering digunakan hacker dalam dunia crypto, termasuk yang disebut secara langsung dalam video, serta corak serangan yang telah dikenal pasti oleh firma forensik blockchain dan keselamatan industri.
A — Approval phishing ialah teknik memperdaya mangsa supaya menandatangani kelulusan token tanpa sedar, membolehkan penyerang mengosongkan wallet tanpa perlu mengetahui seed phrase. Contoh mudah, mangsa klik laman palsu “airdrop”, tekan butang connect wallet, kemudian meluluskan akses USDT atau ETH tanpa membaca butiran transaksi.
B — Bridge exploit berlaku apabila bridge antara blockchain mempunyai kelemahan pada smart contract, validator, atau logik pengesahan mesej. Contohnya seperti yang diterangkan dalam video, hacker memintas proses semakan dan berjaya melepaskan token pada satu rangkaian tanpa deposit sebenar pada rangkaian asal.
C — Compromised private key bermaksud kunci peribadi dicuri melalui malware, kebocoran sistem, atau amalan keselamatan yang lemah. Jika private key validator, multisig signer, atau hot wallet jatuh ke tangan penyerang, aset boleh dipindahkan terus tanpa halangan.
D — Drainware merujuk kepada kontrak atau skrip jahat yang direka untuk “menyedut” aset selepas mangsa menandatangani transaksi tertentu. Dalam bahasa mudah, ia seperti perangkap digital yang nampak seperti fungsi biasa tetapi sebenarnya memberi kuasa penuh kepada hacker untuk memindahkan token keluar.
E — Exploiting escrow logic berlaku apabila mekanisme simpanan cagaran atau escrow pada bridge atau protokol tidak menyemak keadaan sebenar aset dengan betul. Dalam kes video ini, adapter bridge menganggap mesej rentas rantaian itu sah lalu melepaskan keseluruhan posisi rsETH dari escrow, walaupun tiada ETH sebenar pernah dikunci pada chain asal.
F — Fake deposit attack ialah teknik mencipta deposit palsu yang dilihat sah oleh sistem. Contoh yang paling senang difahami ialah sistem bridge sepatutnya hanya keluarkan token jika deposit benar-benar berlaku, tetapi hacker berjaya menghantar bukti palsu yang diterima sebagai transaksi sah.
G — Governance blindness bukan semestinya serangan terus, tetapi kelemahan apabila komuniti atau pentadbir protokol sudah diberi amaran dan tetap mengabaikannya. Video itu menyebut bahawa risiko “single validator” pada rsETH pernah dibangkitkan lebih awal dalam forum tadbir urus Aave, namun amaran itu tidak menghasilkan perlindungan yang cukup.
H — Hot wallet compromise ialah serangan ke atas wallet yang sentiasa dalam talian dan digunakan untuk operasi harian. Menurut TRM Labs, kompromi hot wallet dan operator multisig kini antara kategori serangan terbesar dalam kecurian crypto moden kerana ia menyasarkan pintu masuk yang benar-benar mengawal dana
I — Impersonation berlaku apabila hacker menyamar sebagai sokongan pelanggan, pasukan projek, KOL, atau rakan mangsa untuk mendapatkan akses atau kelulusan transaksi. Contohnya, mangsa menerima DM kononnya daripada “admin rasmi” yang menyuruh semak wallet di laman tertentu, sedangkan itu laman penipuan.
J — Jamming response time bermaksud penyerang bertindak sangat pantas atau serentak di beberapa protokol supaya pasukan keselamatan lambat membekukan kerosakan. Dalam video, aset curi terus digunakan sebagai cagaran di beberapa protokol pinjaman sekali gus, menjadikan serangan lebih sukar dibendung pada minit-minit awal.
K — Key-signer takeover ialah apabila satu kunci tandatangan yang sangat penting diambil alih, contohnya signing key validator bridge. Dalam insiden Kelp DAO, video itu menegaskan bahawa seluruh keselamatan bridge bergantung pada satu entiti, jadi satu tandatangan sahaja cukup untuk memalsukan mesej rentas rantaian.
L — Laundering through lending markets ialah teknik menukar aset curi yang sukar dijual kepada aset yang lebih bersih dan cair melalui protokol pinjaman. Dalam video tersebut, hacker tidak terus menjual rsETH di DEX kerana itu akan menjatuhkan harga terlalu cepat; sebaliknya dia mencagarkan rsETH dan meminjam WETH yang lebih mudah dipindahkan dan dicairkan.
M — Mixer usage seperti Tornado Cash digunakan untuk memecahkan jejak transaksi dan menyukarkan pengesanan sumber dana. Video itu menyebut penyerang membiayai beberapa wallet operasi melalui Tornado Cash sebelum eksploit berlaku, satu corak yang sering digunakan untuk menyembunyikan persiapan serangan.
N — Network design attack merujuk kepada serangan yang tidak semestinya berpunca daripada bug kod, tetapi daripada reka bentuk keselamatan yang lemah. Chainlink dan Merkle Science menerangkan bahawa bridge sangat berisiko apabila seni bina pengesahan atau validator terlalu sedikit, kerana kegagalan satu komponen boleh membuka laluan kepada pemindahan palsu.
O — Oracle abuse berlaku apabila penyerang memanipulasi atau mengeksploit cara harga atau status aset dibaca oleh protokol lain. Dalam banyak serangan DeFi, jika oracle lambat atau salah melaporkan nilai aset, hacker boleh meminjam lebih banyak daripada yang sepatutnya atau mengelakkan pelupusan awal.
P — Price manipulation biasanya dibuat melalui kecairan nipis, pinjaman kilat, atau dagangan besar untuk mengubah harga sementara. Contoh mudah, hacker menaikkan atau menjatuhkan harga token dalam masa singkat supaya sistem pinjaman membaca cagaran pada nilai palsu
Q — Quick chain-hopping ialah memindahkan dana dengan cepat dari satu blockchain ke blockchain lain menggunakan bridge dan swap supaya penyiasat sukar mengejar aliran dana. TRM Labs menerangkan bahawa penjenayah sering menggunakan rentas-rantaian untuk mengaburkan pergerakan wang curi sebelum ia sampai ke tempat pertukaran atau perkhidmatan lain.
R — Rug pull infrastructure biasanya merujuk kepada projek yang sejak awal dibina untuk menipu, tetapi dari sudut teknik ia juga melibatkan kontrak yang memberi kuasa istimewa kepada pencipta untuk mengunci, menghalang jualan, atau menarik semua kecairan. Mangsa sering tertipu kerana antaramuka nampak profesional walaupun logik kontraknya jahat.
S — Social engineering ialah teknik yang paling klasik dan masih paling berkesan, iaitu menipu manusia, bukan mesin. TRM Labs menegaskan bahawa banyak kecurian berskala besar berpunca daripada social engineering dan pencurian kredensial, termasuk menyasarkan pembangun, operator exchange, atau pemegang kunci multisig.
T — Test transaction staging ialah langkah persediaan di mana hacker menghantar transaksi kecil atau melakukan ujian awal sebelum serangan penuh. Elliptic mendapati dalam satu eksploit besar lain, wallet penyerang diwujudkan beberapa hari lebih awal dan menerima pemindahan ujian kecil, menunjukkan operasi itu dirancang secara teliti, bukan dilakukan secara spontan.
U — Unbacked token minting berlaku apabila sistem membenarkan token baharu dikeluarkan tanpa sandaran aset sebenar. Video Kelp DAO menunjukkan rsETH “muncul dari udara” secara praktikal kerana sistem mempercayai pengesahan rentas rantaian yang palsu.
V — Validator takeover ialah situasi apabila penyerang mengawal validator bridge atau cukup banyak validator untuk meluluskan transaksi palsu. Merkle Science menjelaskan bahawa jika majoriti validator jatuh ke tangan penyerang, mereka boleh meluluskan pemindahan rentas rantaian yang tidak sah seolah-olah ia benar-benar berlaku.
W — Wallet clustering evasion ialah cubaan memecahkan dana ke banyak alamat supaya jejak transaksi nampak berpecah dan lebih rumit dianalisis. Dalam video, penyerang menggunakan sembilan wallet operasi yang dibiayai berasingan, satu contoh bagaimana pelaku cuba memecahkan pola dan menyebarkan operasi mereka.
X — Cross-protocol contagion mungkin bukan istilah teknikal rasmi bermula dengan X, tetapi sesuai menggambarkan bagaimana satu serangan merebak ke banyak protokol yang saling terhubung. Video itu menunjukkan bagaimana eksploit bridge Kelp DAO bertukar menjadi krisis Aave, Compound, dan seluruh pasaran DeFi kerana aset yang sama diterima sebagai cagaran di pelbagai tempat.
Y — Yield bait berlaku apabila pengguna terlalu tertarik kepada pulangan tinggi lalu mengabaikan risiko struktur produk. Video ini menerangkan bahawa liquid restaking token seperti rsETH meledak kerana janji hasil tambahan, tetapi ramai pengguna mungkin tidak memahami bahawa keselamatan aset itu juga bergantung pada bridge dan konfigurasi validator di belakang tabir.
Z — Zero-margin collateral assumption merujuk kepada andaian berbahaya bahawa cagaran akan sentiasa boleh ditebus atau dijual hampir pada nilai penuh. Dalam kes ini, apabila sandaran sebenar aset runtuh, nisbah pinjaman yang sebelum itu nampak selamat terus gagal, dan protokol pinjaman terperangkap dengan hutang lapuk kerana tiada siapa mahu mengambil alih cagaran yang sudah hilang nilai sebenar.
Pelajaran paling besar ini ialah hacker crypto moden tidak semestinya “pecahkan” smart contract secara kasar. Kadangkala mereka hanya mencari satu titik kepercayaan yang terlalu lemah, satu tandatangan, satu validator, satu approval, atau satu operator manusia, kemudian menggunakan keseluruhan ekosistem DeFi yang saling bersambung untuk menggandakan kerosakan.
Contoh paling mudah untuk orang biasa faham ialah begini: bayangkan sebuah bank hanya perlukan satu pengawal untuk sahkan peti besi, dan bank-bank lain pula sedia menerima resit dari bank itu sebagai cagaran tunai. Jika pengawal itu dipalsukan, penjenayah bukan sekadar boleh ambil wang dari satu bank, malah boleh guna resit palsu itu untuk meminjam wang sebenar dari bank-bank lain juga. Itulah yang menjadikan serangan crypto moden sangat berbahaya.
Catat Ulasan