Pada 5 Ogos 2025, KuCoin melancarkan Saluran Mingguan Keselamatan terkini mereka, yang menonjolkan realiti yang mengejutkan untuk ekosistem Web3. Menurut laporan tersebut, yang berdasarkan data daripada firma keselamatan blockchain SlowMist, insiden keselamatan pada bulan Julai 2025 mengakibatkan kira-kira$147 jutakerugian keseluruhan. Angka-angka ini bukan sekadar jumlah yang suram; ia berfungsi sebagai peringatan jelas bahawa risiko bukanlah anomali dalam dunia kripto. Ia adalah realiti yang wujud dan pelbagai aspek yang memberi kesan kepada setiap peserta, daripada pembangun kepada pengguna biasa.
Tinjauan lebih dekat terhadap serangan besar bulan itu mendedahkan tiga kategori risiko berbeza yang secara kolektif mentakrifkan cabaran keselamatan Web3.
Kontrak Pintar: Pedang Bermata Dua bagiWeb3
Bagi ramai orang, janji Web3 terletak pada kebergantungannya kepada kod yang tidak boleh diubah. Tetapi seperti yang ditunjukkan oleh insiden pada bulan Julai, satu kesalahan logik boleh menjadi bencana. Platform perdagangan terdesentralisasiGMXmengalami kerugian lebih daripada$42 jutaselepas penyerang mengeksploitasi kelemahan halus dalam logik sistem Keepernya. Dengan memanipulasi cara protokol mengendalikan posisi pendek dan kemas kini harga, penggodam berjaya meningkatkan harga GLP, membolehkan mereka mendapat keuntungan melalui penebusan besar-besaran.
Begitu juga, serangan jambatan rentas-rantaiZKSwap, yang mengakibatkan kerugian sebanyak$5 juta, berpunca daripada kelemahan asas. Mekanisme bukti tanpa pengetahuan—ciri keselamatan teras—sebenarnya tidak disahkan, membolehkan penyerang memalsukan bukti penarikan dan memintas pemeriksaan keselamatan yang paling penting dalam sistem. Kes kontrak pintarSuperRare, yang mempunyai kesilapan tahap rendah di mana != digunakan bukannya ==, lebih menekankan lagi perkara ini. [2] Serangan-serangan ini menonjolkan kebenaran yang kritikal: dalam sistem yang dibangunkan berdasarkan kod, walaupun kesilapan kecil boleh mencipta lubang keselamatan yang besar.
Kredit: @SlowMist_Team di X (Twitter)
Daripada Orang Dalam kepada Perisian Keylogger: Permukaan Serangan Web3 Meluas
Walaupun kod sering menjadi tumpuan utama, trend paling membimbangkan pada bulan Julai adalah peningkatan tahap sofistikasi serangan yang menyasarkan orang di sebalik platform ini. Di sinilah kebocoran sistem berpusat benar-benar menjadi jelas. SeranganCoinDCX, yang menyebabkan kerugian sebanyak$44.2 juta, bukanlah serangan langsung ke atas dompetnya tetapi merupakan kerja dalaman yang difasilitasi oleh jurutera perisian yang telah dikompromi. Penyerang menyamar sebagai perekrut bebas, memasang keylogger pada komputer pekerja tersebut, mencuri kelayakan log masuknya, dan mendapat akses ke sistem dalaman pertukaran. Penangkapan jurutera itu selepas kejadian tersebut menunjukkan akibat serius daripada pelanggaran seperti ini, dan insiden itu mendedahkan bagaimana kejuruteraan sosial terus menjadi vektor serangan yang sangat berkesan. [1]
Contoh lain, serangan rantaian bekalanBigONE, menyaksikan penggodam menyusup ke rangkaian pengeluaran pertukaran dan mengubah logik operasi sistem kawalan risikonya, menyebabkan kerugian sebanyak$27 juta. SeranganWOO X, yang menguras sebanyak$14 jutadaripada sembilan akaun pengguna, juga berkaitan dengan serangan phishing yang disasarkan kepada ahli pasukan. Insiden-insiden ini menonjolkan bahawa tidak kira betapa amannya penyimpanan sejuk pertukaran, infrastruktur dalaman—dan pekerja yang menguruskannya—merupakan permukaan serangan yang ketara yang semakin diminati oleh pelaku jahat.
Kredit: @SlowMist_Team di X (Twitter)
Risiko Berpandukan Pengguna: Garisan Pertahanan Terakhir
Mungkin kerugian yang paling tragis adalah yang berpunca daripada kekurangan pendidikan dan kesedaran pengguna. Laporan itu merangkumi kisah yang memilukan mengenai seorang pengguna yang kehilangan sebanyak4.35BTC—jumlah yang signifikan—selepas membelidompet sejuk palsudaripada penjual pihak ketiga di platform e-dagang [3]. Peranti yang telah diatur lebih awal itu adalah perangkap, direka untuk menyedut dana sebaik sahaja ia dipindahkan. Kisah ini berfungsi sebagai peringatan kuat bahawa keselamatan bukan sahaja tanggungjawab platform dan protokol.
Bagi pengguna biasa, risiko Web3 adalah unik. Mereka tidak dilindungi oleh insurans perbankan atau jabatan penipuan tradisional. Sifat teknologi yang terdesentralisasi meletakkan beban tanggungjawab yang berat pada individu, menjadikan usaha wajar dalam segala-galanya—daripada membelidompet perkakasansehingga mengesahkan butiran transaksi—amatlah penting.
Kesimpulan: Tanggungjawab Bersama
Acara keselamatan pada Julai 2025, seperti yang dijelaskan dalam laporan KuCoin, berfungsi sebagai ringkasan yang kuat tentang risiko semula jadi Web3. Ia menunjukkan bahawa ekosistem sedang diuji secara serentak oleh kelemahan teknikal dalam kontrak pintar, serangan yang berpunca daripada manusia terhadap entiti terpusat, serta kekurangan kesedaran pengguna yang berterusan. Kerugian sebanyak $147 juta adalah panggilan bangun untuk seluruh industri. Ia adalah isyarat yang jelas bahawa keselamatan tidak boleh lagi dilihat sebagai satu pemikiran selepas kejadian. Sebaliknya, ia mesti menjadi usaha yang bersepadu dan kolaboratif yang melibatkan audit teknikal yang kukuh, protokol dalaman yang ketat, dan komitmen meluas terhadap pendidikan pengguna. Hanya dengan menangani ketiga-tiga aspek ini, industri dapat berharap untuk membina masa depan digital yang benar-benar selamat dan tahan lasak.
Rujukan
[1] FinanceFeeds - Jurutera Perisian CoinDCX Ditahan dalam Penipuan Kripto Bernilai $44 Juta yang Melibatkan Orang Dalam, 31 Julai 2025
[2] X(Twitter) - Amaran SlowMist TI, 28 Julai 2025(https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(Twitter) - Pengalaman Pengguna Digodam Ketika Membeli Dompet Sejuk Melalui Saluran Tidak Rasmi, 29 Julai 2025(https://x.com/0xdizai/status/1949906538497528087)